日本加密货币服务遭受攻击

重点内容

• 日本一家主要加密货币服务提供商受到攻击，使用了新型 JokerSpy macOS 后门。
• 攻击者利用名为 'xcc' 的多架构二进制文件来监控权限，绕过苹果的安全保护。
• 攻击者使用 Bash 执行 xcc 二进制文件，并建立自己的 TCC 数据库来规避权限。

根据 的报道，攻击者在本月成功入侵了一家位于日本的主要加密货币服务提供商，该公司专注于以太坊和比特币交易，具体使用了新的 JokerSpy macOS后门。JokerSpy 工具包中包括了一个名为 'xcc' 的多架构二进制文件，该文件被签名为 XProtectCheck，用于监控 FullDiskAccess 和 ScreenRecording 权限，同时规避苹果的安全保护。据 Elastic Security Labs报告，攻击者利用 Bash 在 IntelliJ IDEA、iTerm 应用程序以及 Visual Studio Code 中执行 xcc二进制文件，接着建立了自己的 TCC 数据库以规避 TCC 权限。

安全研究人员指出，"与其他枚举方法不同，Swiftbelt 利用 Swift 代码来避免创建命令行痕迹。值得注意的是，xcc 变体也使用了 Swift编写。"攻防技术不断演变，使得网络安全形势日益严峻。