Pertukaran Cryptocurrency Jepang Menjadi Korban Serangan Backdoor macOS JokerSpy

Cyberthreat.id – Hakcer yang menyebarkan bakdoor Apple macOS yang disebut JokerSpy diketahui mengincar penyedia layanan pertukaran cryptocurrency besar yang berbasis di Jepang.

Elastic Security Labs, yang memantau penyusupan dengan nama REF9134, mengatakan kepada The Hacker News, bahwa serangan tersebut menyebabkan pemasangan Swiftbelt, alat enumerasi berbasis Swift yang terinspirasi oleh utilitas open-source yang disebut SeatBelt.

JokerSky pertama kali didokumentasikan oleh Bitdefender minggu lalu, menggambarkannya sebagai perangkat canggih yang dirancang untuk menembus mesin macOS.

Sangat sedikit yang diketahui tentang aktor ancaman di balik operasi tersebut selain fakta bahwa serangannya memanfaatkan serangkaian program yang ditulis dengan Python dan Swift yang hadir dengan kemampuan untuk mengumpulkan data dan menjalankan perintah sewenang-wenang pada host yang disusupi.

Komponen utama dari toolkit ini adalah biner multi-arsitektur yang ditandatangani sendiri yang dikenal sebagai xcc yang dirancang untuk memeriksa izin FullDiskAccess dan ScreenRecording.

File ditandatangani sebagai XProtectCheck, menunjukkan upaya untuk menyamar sebagai XProtect, teknologi antivirus bawaan di dalam macOS yang menggunakan aturan deteksi berbasis tanda tangan untuk menghapus malware dari host yang sudah terinfeksi.

Dalam insiden yang dianalisis oleh Elastic, pembuatan xcc diikuti oleh aktor ancaman yang "mencoba melewati izin TCC dengan membuat database TCC mereka sendiri dan mencoba mengganti yang sudah ada".

"Pada tanggal 1 Juni, alat berbasis Python baru terlihat dijalankan dari direktori yang sama dengan xcc dan digunakan untuk mengeksekusi alat enumerasi pasca-eksploitasi macOS sumber terbuka yang dikenal sebagai Swiftbelt," kata peneliti keamanan Colson Wilhoit, Salim Bitam, Seth Goodwin, Andrew Pease, dan Ricardo Ungureanu.

Serangan itu menargetkan penyedia layanan cryptocurrency besar berbasis di Jepang yang berfokus pada pertukaran aset untuk perdagangan Bitcoin, Ethereum, dan cryptocurrency umum lainnya. Nama perusahaan itu tidak diungkapkan.

Biner xcc, pada bagiannya, diluncurkan melalui Bash melalui tiga aplikasi berbeda yang diberi nama IntelliJ IDEA, iTerm (emulator terminal untuk macOS), dan Visual Studio Code, yang menunjukkan bahwa versi backdoor dari aplikasi pengembangan perangkat lunak kemungkinan besar digunakan untuk mendapatkan akses awal.

Modul penting lainnya yang dipasang sebagai bagian dari serangan itu adalah sh.py, implan Python yang digunakan sebagai saluran untuk mengirimkan alat pasca-eksploitasi lainnya seperti Swiftbelt.

"Tidak seperti metode pencacahan lainnya, Swiftbelt memanggil kode Swift untuk menghindari pembuatan artefak baris perintah," kata para peneliti. Khususnya, varian xcc juga ditulis menggunakan Swift.[]