{"id":802136,"date":"2023-06-26T12:36:30","date_gmt":"2023-06-26T14:36:30","guid":{"rendered":"https:\/\/teknomers.com\/fr\/lechange-de-crypto-monnaie-japonais-est-victime-de-lattaque-de-la-porte-derobee-de-jokerspy-macos\/"},"modified":"2023-06-26T12:36:33","modified_gmt":"2023-06-26T14:36:33","slug":"lechange-de-crypto-monnaie-japonais-est-victime-de-lattaque-de-la-porte-derobee-de-jokerspy-macos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/lechange-de-crypto-monnaie-japonais-est-victime-de-lattaque-de-la-porte-derobee-de-jokerspy-macos\/","title":{"rendered":"L&#8217;\u00e9change de crypto-monnaie japonais est victime de l&#8217;attaque de la porte d\u00e9rob\u00e9e de JokerSpy macOS"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">26 juin 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Crypto-monnaie \/ S\u00e9curit\u00e9 des terminaux<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Un \u00e9change de crypto-monnaie inconnu situ\u00e9 au Japon a \u00e9t\u00e9 la cible d&#8217;une nouvelle attaque au d\u00e9but du mois pour d\u00e9ployer une porte d\u00e9rob\u00e9e Apple macOS appel\u00e9e JokerSpy.<\/p>\n<p>Elastic Security Labs, qui surveille l&#8217;intrusion d\u00e9finie sous le nom <strong>R\u00c9F9134<\/strong>, <a rel=\"nofollow noopener\" href=\"https:\/\/www.elastic.co\/security-labs\/inital-research-of-jokerspy\" target=\"_blank\">a dit<\/a> l&#8217;attaque a conduit \u00e0 l&#8217;installation de Swiftbelt, un outil d&#8217;\u00e9num\u00e9ration bas\u00e9 sur Swift inspir\u00e9 d&#8217;un utilitaire open source appel\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/GhostPack\/Seatbelt\" target=\"_blank\">Ceinture de s\u00e9curit\u00e9<\/a>.<\/p>\n<p>JokerSky a \u00e9t\u00e9 document\u00e9 pour la premi\u00e8re fois par Bitdefender la semaine derni\u00e8re, le d\u00e9crivant comme une bo\u00eete \u00e0 outils sophistiqu\u00e9e con\u00e7ue pour violer les machines macOS.<\/p>\n<div class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/netspi-in-2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/06\/1685947184_392_Magento-WooCommerce-WordPress-et-Shopify-exploites-dans-une-attaque-Web.jpg\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>On sait tr\u00e8s peu de choses sur l&#8217;acteur de la menace derri\u00e8re les attaques, \u00e0 part le fait que les attaques exploitent un ensemble de programmes \u00e9crits en Python et Swift qui sont dot\u00e9s de capacit\u00e9s pour collecter des donn\u00e9es et ex\u00e9cuter des commandes arbitraires sur des h\u00f4tes compromis.<\/p>\n<p>Un composant principal de la bo\u00eete \u00e0 outils est un binaire multi-architecture auto-sign\u00e9 appel\u00e9 xcc qui est con\u00e7u pour v\u00e9rifier les autorisations FullDiskAccess et ScreenRecording.<\/p>\n<p>Le fichier est sign\u00e9 en tant que XProtectCheck, indiquant une tentative de se faire passer pour <a rel=\"nofollow noopener\" href=\"https:\/\/support.apple.com\/en-us\/guide\/security\/sec469d47bd8\/web\" target=\"_blank\">XProtect<\/a>une technologie antivirus int\u00e9gr\u00e9e \u00e0 macOS qui utilise des r\u00e8gles de d\u00e9tection bas\u00e9es sur les signatures pour supprimer les logiciels malveillants des h\u00f4tes d\u00e9j\u00e0 infect\u00e9s.<\/p>\n<p>Dans l&#8217;incident analys\u00e9 par Elastic, la cr\u00e9ation de xcc est suivie par l&#8217;acteur de la menace &#8220;tentant de contourner les autorisations TCC en cr\u00e9ant ses propres <a rel=\"nofollow noopener\" href=\"https:\/\/support.apple.com\/en-us\/guide\/security\/secddd1d86a6\/web\" target=\"_blank\">Base de donn\u00e9es TCC<\/a> et essayer de remplacer l&#8217;existant.&#8221;<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/06\/Lechange-de-crypto-monnaie-japonais-est-victime-de-lattaque-de-la.png\" alt=\"\" border=\"0\" data-original-height=\"1288\" data-original-width=\"1999\"\/><\/div>\n<p>&#8220;Le 1er juin, un nouvel outil bas\u00e9 sur Python a \u00e9t\u00e9 vu s&#8217;ex\u00e9cutant \u00e0 partir du m\u00eame r\u00e9pertoire que xcc et a \u00e9t\u00e9 utilis\u00e9 pour ex\u00e9cuter un outil d&#8217;\u00e9num\u00e9ration post-exploitation macOS open source connu sous le nom de Swiftbelt&#8221;, ont d\u00e9clar\u00e9 les chercheurs en s\u00e9curit\u00e9 Colson Wilhoit, Salim Bitam, Seth Goodwin. , Andrew Pease et Ricardo Ungureanu ont d\u00e9clar\u00e9.<\/p>\n<p>L&#8217;attaque visait un grand fournisseur de services de crypto-monnaie bas\u00e9 au Japon, ax\u00e9 sur l&#8217;\u00e9change d&#8217;actifs pour le commerce de Bitcoin, d&#8217;Ethereum et d&#8217;autres crypto-monnaies courantes.  Le nom de la soci\u00e9t\u00e9 n&#8217;a pas \u00e9t\u00e9 divulgu\u00e9.<\/p>\n<div class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/www.memcyco.com\/home\/library\/the-untold-cost-of-brand-impersonation-ebook\/?utm_source=thn&amp;utm_medium=referral&amp;utm_campaign=ebook-campaign\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/06\/1687790190_333_Lechange-de-crypto-monnaie-japonais-est-victime-de-lattaque-de-la.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Le binaire xcc, pour sa part, est lanc\u00e9 au moyen de Bash via trois applications diff\u00e9rentes nomm\u00e9es IntelliJ IDEA, iTerm (un \u00e9mulateur de terminal pour macOS) et Visual Studio Code, indiquant que des versions d\u00e9rob\u00e9es de logiciels de d\u00e9veloppement de logiciels sont probablement utilis\u00e9es pour obtenir un premier acc\u00e8s.<\/p>\n<p>Un autre module notable install\u00e9 dans le cadre de l&#8217;attaque est sh.py, un implant Python utilis\u00e9 comme conduit pour fournir d&#8217;autres outils de post-exploitation comme Swiftbelt.<\/p>\n<p>&#8220;Contrairement \u00e0 d&#8217;autres m\u00e9thodes d&#8217;\u00e9num\u00e9ration, Swiftbelt invoque le code Swift pour \u00e9viter de cr\u00e9er des artefacts de ligne de commande&#8221;, ont d\u00e9clar\u00e9 les chercheurs.  &#8220;Notamment, les variantes xcc sont \u00e9galement \u00e9crites en utilisant Swift.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/06\/japanese-cryptocurrency-exchange-falls.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80226 juin 2023\ue804Ravie LakshmananCrypto-monnaie \/ S\u00e9curit\u00e9 des terminaux Un \u00e9change de crypto-monnaie inconnu situ\u00e9 au Japon a \u00e9t\u00e9 la cible d&#8217;une nouvelle attaque au d\u00e9but du mois pour d\u00e9ployer une porte d\u00e9rob\u00e9e Apple macOS appel\u00e9e JokerSpy. Elastic Security Labs, qui surveille l&#8217;intrusion d\u00e9finie sous le nom R\u00c9F9134, a dit l&#8217;attaque a conduit \u00e0 l&#8217;installation de [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":802137,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4168,1966,4158,4165,4161,7084,40,28031,170698,4157,4159,4171,4170,1505,16113,4167,34503,4160,4163,4162,2742,4172,4169,260,4166,4164],"class_list":["post-802136","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-comment-pirater","tag-cryptomonnaie","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-derobee","tag-est","tag-japonais","tag-jokerspy","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-lattaque","tag-lechange","tag-logiciel-malveillant-de-ransomware","tag-macos","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-porte","tag-securite-informatique","tag-securite-internet","tag-victime","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/802136","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=802136"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/802136\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/802137"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=802136"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=802136"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=802136"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}