朝鲜黑客正在针对苹果设备推出新型恶意软件,作为其针对加密公司网络攻击行动的一部分。
据网络安全公司Sentinel Labs周三发布的报告显示,攻击者会在Telegram等消息应用上伪装成受信任人士,然后通过Google Meet链接发起伪装成Zoom会议的请求,并向受害者发送伪装成Zoom更新文件的内容。
一旦该“更新”被执行,恶意载荷会在Mac电脑上安装名为“NimDoor”的恶意软件,进而锁定加密钱包及浏览器密码。
此前,Mac电脑普遍被认为不易受到黑客攻击和漏洞利用,但这种情况已经发生改变。
尽管攻击路径较为常见,但该恶意软件采用了一种罕见的编程语言Nim编写,使安全软件更难检测。
研究人员表示:“虽然攻击的早期阶段依然遵循朝鲜(DPRK)惯用的社会工程、诱导脚本和伪装更新等模式,但在macOS上使用Nim编译的二进制文件则非常罕见。”
Nim是一种较新且罕见的编程语言,因其能够在Windows、Mac和Linux等平台无须修改即可运行,正逐渐被网络犯罪分子采用。这意味着黑客只需编写一套恶意代码,即可跨平台部署。
Nim还具备高效编译、可生成独立可执行文件,以及极难被检测等特点。
Sentinel研究人员称,朝鲜相关威胁团伙此前曾尝试过Go和Rust等编程语言,但Nim带来了显著优势。
研究人员指出,该载荷内置了一款凭证窃取工具,“专门用于静默提取浏览器及系统级信息、打包并外传”。
此外,还包含专门窃取Telegram本地加密数据库及解密密钥的脚本。
该恶意软件还会延时十分钟后再激活,以规避安全扫描器的检测。
网络安全解决方案提供商Huntress于六月报告称,类似的恶意软件入侵与朝鲜国家支持的黑客组织“BlueNoroff”有关。
研究人员指出,该恶意软件的一个显著特点是能够绕过苹果的内存防护机制,将恶意载荷注入系统。
该恶意软件可用于键盘记录、屏幕录制、剪贴板数据获取,并内置一款名为CryptoBot的“全功能信息窃取工具”,其“重点针对加密货币盗窃”。该信息窃取器能够渗透浏览器扩展程序,专门寻找钱包插件。
本周,区块链安全公司SlowMist提醒用户警惕一场“大规模恶意活动”,涉及数十款伪造的Firefox扩展程序,旨在窃取加密钱包凭证。
Sentinel Labs研究人员总结道:“过去几年里,我们看到macOS越来越成为威胁行为者的目标,尤其是高技术水平、国家支持的攻击者。”这一现象也打破了“Mac不会感染病毒”的神话。
相关推荐:亚利桑那州州长否决查获加密货币储备基金法案
免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。
