点击上方蓝字关注我们吧~
朝鲜加密货币窃贼再次以 macOS 用户为目标,发起了一项新的恶意软件活动,该活动使用网络钓鱼电子邮件、虚假 PDF 应用程序和一种新技术来逃避 Apple 的安全措施。
根据SentinelOne 的最新研究,臭名昭著的 BlueNoroff 黑客团队被发现向去中心化金融 (DeFi) 和加密货币业务的目标发送带有虚假新闻标题或有关加密相关主题的故事的网络钓鱼诱饵。
在电子邮件中,朝鲜政府支持的黑客嵌入了一个恶意的 macOS 应用程序,该应用程序伪装成与加密货币主题相关的 PDF 文档的链接,例如“比特币价格新一轮飙升背后的隐藏风险”、“山寨币季节 2.0 - 值得关注的隐藏宝石”和“稳定币和 DeFi 的新时代,CeFi”。
SentinelOne 表示,这项名为“隐藏风险”的活动还滥用了“zshenv”配置文件来保持持久性,而不会触发 macOS Ventura 的后台项目修改通知。
macOS 通知旨在提醒用户注意常见持久性方法(如 LaunchAgents 和 LaunchDaemons)的更改。
根据 SentinelOne 文档,第一阶段恶意软件是用 Swift 编写的 macOS 应用程序,其名称与嵌入的 PDF 文档相同。该应用程序使用合法的 Apple Developer ID(已被撤销)进行签名和公证,并在执行时从 Google Drive 链接下载诱饵 PDF,并使用默认的 macOS PDF 查看器打开它,以避免引起怀疑。
与此同时,SentinelOne 研究人员观察到恶意软件从硬编码的 URL 下载并执行恶意 x86-64 二进制文件。两家公司表示,该应用程序通过其 Info.plist 文件中指定例外来允许不安全的 HTTP 连接,从而绕过 macOS 安全功能。
该公司还记录了第二阶段后门的使用情况,该后门收集系统信息,生成唯一标识符,并与命令和控制 (C2) 服务器建立通信。
SentinelOne 表示,后门程序被编程为将操作系统版本、硬件型号和进程列表发送到 C2 服务器,并等待进一步的指示。
BlueNoroff 被公开记录为朝鲜 Lazarus APT 行动中的一个子组织。该组织专门从事金融网络犯罪,特别是针对银行和加密货币交易所,为朝鲜政权提供资金。
免责声明:
本公众号所载文章为本公众号原创或根据网络搜索下载编辑整理,文章版权归原作者所有,仅供读者学习、参考,禁止用于商业用途。因转载众多,无法找到真正来源,如标错来源,或对于文中所使用的图片、文字、链接中所包含的软件/资料等,如有侵权,请跟我们联系删除,谢谢!
原文始发于微信公众号(网安百色):朝鲜黑客以 macOS 用户为目标
评论