雅加达 - 安全研究人员已经确定了朝鲜国家(朝鲜)赞助的黑客努力,通过破碎的会面应用程序针对Mac用户提供信息窃贼恶意软件。
感染后,恶意软件将在 Mac 和攻击命令和控制(C2) 服务器之间建立连接,以提取敏感数据,如iCloud Keychain凭据。该恶意软件还秘密安装了远程桌面应用程序AnyDesk,并在背景中插入软件以接管机器并收集按钮按压。
恶意软件是被称为“BeaverTail”的菌株的新变种,最初由MalwareHunterTeam通过X上的帖子报道。虽然BeaverTail以前是2023年发现的基于JavaScript的信息窃贼,但现在它似乎已经更改为针对Mac用户,其中有恶意磁盘图像名为“MicroTalk.dmg”。
安全研究员兼作者Patrick Wardle在Objective-See上的一篇相当全面的博客文章中分析了这些恶意软件。沃德尔发现,黑客最有可能伪装成求职者。他们欺骗受害者下载似乎是官方的MiroTalk视频会议平台的东西,以磁盘图像文件的名称“MicroTalk.dmg”,但实际上是一个包含隐藏的恶意软件的克隆。
这不是第一次有报道称,朝鲜黑客伪装成求职者以针对受害者。部队42 Palo Alto Network最近报道了类似的故事,标题为:“黑客雇佣和求职:朝鲜威胁演员的两项与职相关运动熊厅标志。
根据Wardle的分析,包含恶意软件的MicroTalk集群未被识别的开发人员签署或未与Apple注册,因此macOS Gatekeeper将阻止应用程序的运行。但是,用户可以通过右键单击并从快捷菜单中选择“打开”来克服阻止。
感染后,恶意软件 与 C2 服务器 通信以下载和提取数据, 包括 iCloud KeyChain 凭据和流行加密货币钱包的浏览器扩展 ID,可用于窃取私人钥匙和异议短语。
最难理解的是,当上周发现恶意软件时,恶意软件可能会在未被检测的情况下通过VirusTotal等抗病毒扫描仪。网络犯罪分子将在VirusTotal等平台上上上传他们的执行文件,以确保恶意方面被正确隐藏,以免被流行扫描仪检测到。缺点是“好人”的一方也可以看到它。
“具体而言,从符号的输出来看,我们看到了方法的名称(文件上传,pDownFinished,运行),该方法揭示了扩展,下载和运行的能力,”根据objective-See博客文章。
“从嵌入式电路中,我们看到了命令和控制服务器的地址,最有可能的,95,164,17.24,1224,以及有关恶意软件收集的信息类型进行渗透的线索。特别是,来自流行加密货币钱包的浏览器扩展ID,用户浏览器数据路径和macOS键链。其他电路与额外的负载下载和执行有关,这似乎是恶意的皮德龙脚本的形式。
这种可能性是BlueNoroff的工作,BlueNoroff是著名的国家网络犯罪公司Lazarus Group的一个子集团。BlueNoroff有几个典型的案例,经常将潜在的受害者与掩体联系起来,作为投资者或公司求职者。如果你看起来像鸭子,像鸭子一样游泳,听起来像鸭子,那么它很可能是鸭子。
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
