新型 JaskaGO信息窃取程序针对 macOS 和 Windows获取加密货币和浏览器数据

上官雨宝2023-12-21 10:46:53

AT&T Alien Labs的网络安全研究人员发现了一种名为JaskaGO的复杂恶意软件菌株,它是用Go(Golang)编程语言编写的,并具有在受感染系统中保持持久性的能力。它可以泄露有价值的信息,包括浏览器凭据和加密货币钱包详细信息。

JaskaGO于2023年7月被发现,针对Mac用户。从那时起,该威胁的功能不断发展,并在macOS和Windows版本中发展,检测率较低,最近的反病毒引擎样本证明了这一点。

根据AT&T Alien Labs的报告,JaskaGO是一种欺骗性工具,它会显示一条虚假的错误消息,声称文件丢失,以误导用户相信恶意代码无法运行。

此外,它使用类似于知名应用程序的文件名,例如“Capcut_Installer_Intel_M1.dmg”和“Anyconnect.exe”,这表明在盗版应用程序网页中以合法软件为幌子部署恶意软件的常见策略。

恶意软件首先扫描系统以确定它是否在虚拟机(VM)中运行,获取一般机器信息,例如处理器数量、系统正常运行时间、可用系统内存和MAC地址。与知名虚拟机软件(例如VMware或VirtualBox)相关的MAC地址的存在是一个关键指标。

如果没有检测到,它就会开始收集信息并不断查询其C2服务器,等待各种命令的指示。这些命令包括创建持久性、窃取程序功能、ping命令和控制、执行shell命令、警报消息、检索正在运行的进程列表、执行磁盘或内存中的文件、写入剪贴板、执行随机任务、下载和执行其他有效负载、启动进程退出(自身)、启动进程退出并删除自身。

JaskaGO配备了广泛的数据渗透功能,并将获取的数据存储在专门创建的文件夹中,压缩并发送给攻击者。它可以配置为针对其他浏览器,收集浏览器信息,例如凭据、历史记录、cookie、密码加密密钥、配置文件和登录信息。

持久化机制通过两种方法建立:Windows中的服务创建和macOS中的root执行。在Windows中,恶意软件通过生成以下文件来创建Windows终端配置文件:

UserName\AppData\Local\Packages\Microsoft

WindowsTerminal_*\LocalState\settings.json

在macOS上,恶意软件采用多步骤过程在系统内建立持久性:以root身份执行、禁用Gatekeepe 以及复制自身。为了确保持久性,恶意软​​件会根据成功的root访问创建LaunchDaemon或LaunchAgent,以便在系统启动期间自动启动,并进一步将自身嵌入到macOS环境中。

JaskaGO仍在调查中;但对那些可能感觉未受到网络威胁影响的Mac用户发出警告,强调无论选择何种操作系统,都必须保持警惕的重要性。

软件mac
本作品采用《CC 协议》,转载必须注明作者和本文链接
官方声明攻击并不涉及大型基础设施,只影响了法国的部分业务,且公司立刻采取行动保护敏感数据,未出现数据泄露。
目前,已有 Sinclair和 Olympus两家企业中招。
2022年4月13日,美国CISA、DOE、NSA和FBI多个机构发布了一份联合安全公告,披露了一个专门针对工业控制系统的攻击工具。Mandiant公司将其命名为“INCONTROLLER”,Dragos公司将其命名为“PIPEDREAM”,下文中会统一使用“INCONTROLLER”。INCONTROLLER可以降低攻击者对工业知识的依赖,对多个行业的特定工业控制设备进行攻击,截止目前暂未发现任
未经授权的网站分发木马版本的破解软件已被发现使用新的Trojan-Proxy恶意软件感染苹果macOS用户。攻击者可以利用此类恶意软件通过构建代理服务器网络来获取金钱,或代表受害者实施犯罪行为:对网站、公司和个人发起攻击,购买枪支、毒品和其他非法商品。该恶意软件是一种跨平台威胁,因为在Windows和Android上发现了利用盗版工具的工件。macOS变体打着合法多媒体、图像编辑、数据恢复和生产力
2 月 4 日消息,根据国外科技媒体 Ars Technica 报道,安全公司 Spamhaus 和 abuse.ch 联合发布的报告中指出,黑客试图通过 Google 搜索结果来传播恶意的 Mac 软件。IT 之家了解到,通常情况下这些广告会出现在搜索结果的顶部,用户在未留意情况下可能误认为是合法网站,然后在跳转的页面中下载了含有恶意代码的 Mac 软件
自 2 月 24 日开始,乌克兰政府和银行网站不断遭遇网络攻击,急剧变化的局势也让大家进一步地关注到了乌克兰的科技生态圈。 据统计,乌克兰拥有数量庞大的熟练软件开发人员,总共有超过 25 万名在职开发人员。快速增长的 IT 行业是乌克兰最具吸引力的行业之一,据其政府网站介绍,他们已经拥有了超过 4000 家科技公司,其目标是成为欧洲的技术中心。目前,乌克兰不仅拥有数百家初创公司与大型科技企业,同
现在的整个附属计划进行了大量修改,使其对在Conti消亡后寻找工作的附属机构而言更有吸引力。它声称自己已拥有100个附属机构。根据Malwarebytes的遥测数据显示,LockBit是去年迄今为止最活跃的勒索软件,受害者数量是第二活跃的勒索软件ALPHV的3.5倍。总体而言,2022年三分之一的勒索事件涉及LockBit,该团伙索要的最高赎金为5000万美元。
据这家网络安全公司称,该供应商已积极联系客户,敦促他们修补受影响的系统。该报告称,勒索软件攻击的急剧上升影响了当前网络保险公司的承保业绩,这些攻击占2020年所有网络保险索赔的近75%。委员会将在工作12个月后提交最终报告。谷歌因不遵守规定被罚款3.74亿美元,苹果因未在俄罗斯存储数据而被罚款。
调查结果还发现,男程序员的平均薪资低于女程序员:男性平均年薪为 28200 美元,而女性年薪为 32500 美元。不过这并不排除女性程序员样本较少,导致结果产生偏差的可能。
安全研究人员正在关注来自臭名昭著的LockBit黑客团伙的Mac勒索软件样本。这也是知名勒索团伙将矛头指向macOS平台的首个已知案例。但多年以来,实验性的Mac勒索软件样本已经多次出现,不禁令人担心暂时的安全将很快化为乌有。苹果公司拒绝就此事回应置评请求。LockBit是总部设在俄罗斯的勒索软件团伙,首度亮相于2019年底。
上官雨宝
是水水水水是