• 發布單位:TWCERT/CC
• 更新日期:2023-06-30
• 點閱次數:8986

資安廠商 BitDefender 和 Elastic Security Labs 旗下的資安研究人員，最近發現一個全新的 macOS 惡意軟體 JokerSpy，且發現該惡意軟體鎖定日本某家加密貨幣交易所發動攻擊。

資安研究人員指出，該惡意軟體使用一個內含 Mach-O 檔案的 xcc 二進位碼，可同時在 Intel 與 Apple Silicon 處理器架構上運作，而該檔案也會檢查 Mac 電腦中的 TCC 資料庫，以規避系統內建的資安防護措施。

xcc 在執行時會將受害 Mac 的各項系統資訊回傳給駭侵者設立的控制伺服器，並且建立一個以 Python 程式語言撰寫的後門，用以下載後續的惡意程式碼酬載，執行進一步的攻擊。

BitDefender 表示，目前該公司掌握到的 JokerSpy 攻擊案例並不多，但可確定的是，JokerSpy 在今年五月末開始發動第一步的駭侵攻擊，入侵受害者的 Mac 電腦後，於 6 月 1 日起開始載入新的 Python 惡意軟體酬載 Swiftbelt；而 Elastic 掌握到的攻擊活動，則是鎖定日本一家大型加密貨幣交易所。

資安專家指出，目前還不清楚 JokerSpy 的攻擊造成多大程度的影響，但如果第一個案例就是資安防護相對較嚴密的加密貨幣交易所，表示駭侵者在技術的成熟度上不可輕忽。

專家也表示，雖然和 Windows 相比，macOS 因為裝機量較少，使得該作業系統上的惡意軟體較少，但也出現了像 JokerSpy 這樣的 macOS 平台專屬惡意軟體，值得 macOS 使用者注意。

雖然 macOS 普遍擁有較佳的安全性，但使用者仍不可大意，絕對應避免安裝使用來路不明的應用程式，或任意點按不明連結。