朝鲜的黑客攻击:使用BeaverTail恶意软件伪装求职者以针对Mac用户

雅加达 - 安全研究人员已经确定了朝鲜国家(朝鲜)赞助的黑客努力,通过破碎的会面应用程序针对Mac用户提供信息窃贼恶意软件。

感染后,恶意软件将在 Mac 和攻击命令和控制(C2) 服务器之间建立连接,以提取敏感数据,如iCloud Keychain凭据。该恶意软件还秘密安装了远程桌面应用程序AnyDesk,并在背景中插入软件以接管机器并收集按钮按压。

恶意软件是被称为“BeaverTail”的菌株的新变种,最初由MalwareHunterTeam通过X上的帖子报道。虽然BeaverTail以前是2023年发现的基于JavaScript的信息窃贼,但现在它似乎已经更改为针对Mac用户,其中有恶意磁盘图像名为“MicroTalk.dmg”。

安全研究员兼作者Patrick Wardle在Objective-See上的一篇相当全面的博客文章中分析了这些恶意软件。沃德尔发现,黑客最有可能伪装成求职者。他们欺骗受害者下载似乎是官方的MiroTalk视频会议平台的东西,以磁盘图像文件的名称“MicroTalk.dmg”,但实际上是一个包含隐藏的恶意软件的克隆。

这不是第一次有报道称,朝鲜黑客伪装成求职者以针对受害者。部队42 Palo Alto Network最近报道了类似的故事,标题为:“黑客雇佣和求职:朝鲜威胁演员的两项与职相关运动熊厅标志。

根据Wardle的分析,包含恶意软件的MicroTalk集群未被识别的开发人员签署或未与Apple注册,因此macOS Gatekeeper将阻止应用程序的运行。但是,用户可以通过右键单击并从快捷菜单中选择“打开”来克服阻止。

感染后,恶意软件 与 C2 服务器 通信以下载和提取数据, 包括 iCloud KeyChain 凭据和流行加密货币钱包的浏览器扩展 ID,可用于窃取私人钥匙和异议短语。

最难理解的是,当上周发现恶意软件时,恶意软件可能会在未被检测的情况下通过VirusTotal等抗病毒扫描仪。网络犯罪分子将在VirusTotal等平台上上上传他们的执行文件,以确保恶意方面被正确隐藏,以免被流行扫描仪检测到。缺点是“好人”的一方也可以看到它。

“具体而言,从符号的输出来看,我们看到了方法的名称(文件上传,pDownFinished,运行),该方法揭示了扩展,下载和运行的能力,”根据objective-See博客文章。

“从嵌入式电路中,我们看到了命令和控制服务器的地址,最有可能的,95,164,17.24,1224,以及有关恶意软件收集的信息类型进行渗透的线索。特别是,来自流行加密货币钱包的浏览器扩展ID,用户浏览器数据路径和macOS键链。其他电路与额外的负载下载和执行有关,这似乎是恶意的皮德龙脚本的形式。

这种可能性是BlueNoroff的工作,BlueNoroff是著名的国家网络犯罪公司Lazarus Group的一个子集团。BlueNoroff有几个典型的案例,经常将潜在的受害者与掩体联系起来,作为投资者或公司求职者。如果你看起来像鸭子,像鸭子一样游泳,听起来像鸭子,那么它很可能是鸭子。