北韓駭客正在針對蘋果裝置推出新型惡意軟體,作為其針對加密公司網路攻擊行動的一部分。
據網路安全公司Sentinel Labs週三(7月2日)發布的報告顯示,攻擊者會在Telegram等訊息應用程式上偽裝成受信任人士,然後透過Google Meet連結發起偽裝成Zoom會議的請求,並向受害者發送偽裝成Zoom更新檔案的內容。
Nimdoor瞄準Mac電腦
一旦該「更新」被執行,惡意載荷會在Mac電腦上安裝名為「NimDoor」的惡意軟體,進而鎖定加密錢包及瀏覽器密碼。
此前,Mac電腦普遍被認為不易受到駭客攻擊和漏洞利用,但這種情況已經發生改變。
儘管攻擊路徑較為常見,但該惡意軟體採用了一種罕見的程式語言Nim編寫,使安全軟體更難偵測。
研究人員表示:「雖然攻擊的早期階段依然遵循北韓(DPRK)慣用的社交工程、誘導腳本和偽裝更新等模式,但在macOS上使用Nim編譯的二進位檔則非常罕見。」
Nim是一種較新且罕見的程式語言,因其能夠在Windows、Mac和Linux等平台無須修改即可執行,正逐漸被網路犯罪分子採用。這意味著駭客只需編寫一套惡意程式碼,即可跨平台部署。
Nim還具備高效編譯、可生成獨立可執行檔案,以及極難被偵測等特點。
Sentinel研究人員稱,北韓相關威脅團體此前曾嘗試過Go和Rust等程式語言,但Nim帶來了顯著優勢。
資訊竊取工具
研究人員指出,該載荷內建了一款憑證竊取工具,「專門用於靜默提取瀏覽器及系統級資訊、打包並外傳」。
此外,還包含專門竊取Telegram本地加密資料庫及解密密鑰的腳本。
該惡意軟體還會延遲十分鐘後再啟動,以規避安全掃描器的偵測。
Mac同樣會感染病毒
網路安全解決方案提供商Huntress於六月報告稱,類似的惡意軟體入侵與北韓國家支持的駭客組織「BlueNoroff」有關。
研究人員指出,該惡意軟體的一個顯著特點是能夠繞過蘋果的記憶體防護機制,將惡意載荷注入系統。
該惡意軟體可用於鍵盤記錄、螢幕錄製、剪貼簿資料獲取,並內建一款名為CryptoBot的「全功能資訊竊取工具」,其「重點針對加密貨幣盜竊」。該資訊竊取器能夠滲透瀏覽器擴充功能,專門尋找錢包插件。
本週,區塊鏈安全公司SlowMist提醒用戶警惕一場「大規模惡意活動」,涉及數十款偽造的Firefox擴充功能,旨在竊取加密錢包憑證。
Sentinel Labs研究人員總結道:「過去幾年裡,我們看到macOS越來越成為威脅行為者的目標,尤其是高技術水準、國家支持的攻擊者。」這一現象也打破了「Mac不會感染病毒」的神話。