「JokerSpy」と呼ばれる新しくて奇妙な macOS マルウェアが特定され、その最初の既知のバックドア作成が暗号通貨取引所を攻撃しました。
Mac の脅威は Windows に比べて比較的まれですが、macOS が標的となる例の数は増え続けています。新たな発見によると、潜在的な脅威のリストにバックドアを作成するマルウェアがもう 1 つ追加されるようです。
最初はによって報告されましたBitdefender による研究者と独立した研究も実施したElastic Security Labs によると、JokerSpy として知られるマルウェアは、サンプルが不足していることもあり、まだあまり知られていません。これまでのところ、BitDefender は合計 4 つのサンプルに取り組んでおり、Eastic は「著名な日本の仮想通貨取引所」の侵害に焦点を当てていました。
このマルウェアの構築の一部として、x86 Intel および ARM M1 アーキテクチャ用の Mach-O ファイルを含む「xcc」と呼ばれるバイナリが使用されており、理論的には Intel および Apple Silicon Mac 上で動作することが可能です。このファイルは、Apple の透明性、同意、および制御システムによって管理されるアクセス許可をチェックします。
検出を避けるために既存の TCC データベースをコピーした後、xcc 実行可能ファイルが実行され、攻撃者に送り返されるシステム情報を収集する前に Python ベースのバックドアが作成されました。プラグインやその他のペイロードを使用して、システムの制御を強化することも可能です。
5 月下旬の侵害に続いて、6 月 1 日に新しい Python ツールがインストールされ、Swiftbelt と呼ばれるエクスプロイト後の列挙ツールが実行されました。
対象となる事例が非常に少ないことと、Exchange ハッカーが以前にターゲット システムにアクセスしたことがあったと考えられることから、既に何らかの形でアクセスを持っていた以外に、どのようにしてマルウェアがターゲットの Mac に導入されたのかは不明です。
そもそも誰がこのマルウェアを作成したのかも不明ですが、仮想通貨取引所をターゲットにすることで、一般的なユーザーが餌食になるような攻撃ではなく、非常に高度な攻撃となる可能性があります。
予防が方法です
入手可能な限られた証拠に基づくと、高価値のターゲットを除いて、平均的な Mac ユーザーが現時点で JokerSpy に対処しなければならないとは考えにくいようです。
AppleInsider通常、Apple はセキュリティ修正を定期的に組み込んでいることもあり、Mac ユーザーに対して macOS アップデートを常に最新の状態に保つことを推奨しています。また、ユーザーは、サイトやダウンロードの信頼性を認識すること、個人情報の配布を制限すること、可能な場合は利用可能なセキュリティ オプションを使用することなど、オンラインの衛生管理を徹底する必要があります。