朝鲜黑客用感染加密应用程序瞄准 Mac 用户

雅加达 - 网络安全研究人员透露了朝鲜黑客的新策略,该策略通过感染恶意软件的加密应用程序针对macOS设备用户。Jamf Threat Labs的最新报告显示,黑客使用流行的应用程序开发工具Flutter在看起来安全的macOS应用程序中隐藏恶意代码。

Jamf Threat Labs的调查发现,黑客在一个看起来像一个名为New Updates in Crypto Exchange的简单游戏的应用程序中掩盖了恶意软件。使用欺骗用户的显示屏,该应用程序是使用Flutter设计的,Flutter允许开发人员创建跨平台应用程序。然而,Flutter的独特设置也允许黑客隐藏难以检测的恶意代码。

在此应用程序中,恶意代码存储在迪利卜格式或动态图书馆中,然后在应用程序运行时由Flutter机器充电。这种不寻常的代码结构使得标准安全系统难以检测恶意软件,允许应用程序通过各种层次的安全检查。

跨程恶意软件的变种

除了基于Flutter的应用程序外,朝鲜黑客还开发了另外两个使用Go和Python编程语言编制的恶意软件变体。这三个变体具有相似的方法,即连接到据称由朝鲜管理的外部服务器。连接后,服务器会提供额外的命令,允许黑客远程控制受害者的设备。

例如,基于 Python 的变体假装是一个简单的笔记本 应用程序。该应用程序连接到与朝鲜的网络活动相关的域名,允许黑客在受害者的设备上下载和执行恶意脚本。事实上,其中一项恶意脚本是成反编写的,以欺骗安全检测。

这种恶意软件的最大威胁之一是它使用AppleScript的能力,AppleScript是 macOS上的自动化工具,允许黑客远程执行命令。 这些恶意软件可以控制受害者的设备,包括访问敏感数据,安装恶意软件,记录用户活动。

AppleScript 控制设备内任务的能力使此技术变得危险,特别是因为脚本可以在用户不知情的情况下操纵设备。

研究人员提醒说,到目前为止,还没有迹象表明此应用程序被用于直接攻击用户。然而,回顾朝鲜经常以金融部门为目标的历史,与加密相关的应用程序似乎是潜在的目标。

以下是为防止此恶意软件威胁而采取的一些建议预防措施:

Mac App Store 或 Mac App Store 版开发者版Mac App Store 上的应用程序下载具有严格的安全审查过程,因此比从未知来源下载应用程序更安全。如果可能的话,只从 Mac App Store 或Apple 识别的开发者下载应用程序。

默认情况下,macOSSecara 启用内置安全设置,macOS 只允许从 Mac App Store 和值得信赖的开发人员下载应用程序。用户可以在“设置”应用程序的“隐私和安全”部分查看此设置。

macOS 和Apple 的量级应用 更新定期为 macOS 及其官方应用 发布安全更新。定期更新设备,用户可以保护自己免受黑客可能利用的新漏洞的侵害。

谨慎对待加密相关应用程序,这些应用程序承诺快速利润或看起来太好,无法信任,通常会包含隐藏的风险。在下载之前,请务必查看应用程序声誉和用户评论。

来自朝鲜的网络攻击威胁是警告,所有Apple设备用户在管理下载的应用程序时要更加警惕,特别是在金融和加密部门,这些部门经常成为全球黑客攻击的主要目标。