来自 Lazarus 集团的朝鲜黑客一直在使用 macOS 的签名恶意可执行文件来冒充 Coinbase 并引诱金融技术部门的员工。
虽然他们针对 Web3 公司的员工并不奇怪,但到目前为止,有关此特定社会工程活动的详细信息仅限于 Windows 平台的恶意软件。
Lazarus 黑客过去曾使用虚假工作机会,在最近的一次行动中,他们使用伪装成 PDF 文件的恶意软件,其中包含有关 Coinbase 职位的详细信息。
Lazarus 黑客组织使用的诱饵 PDF
虚假文件的名称是“Coinbase_online_careers_2022_07”。启动时,它会显示上面的诱饵 PDF 并加载一个恶意 DLL,最终允许攻击者向受感染的设备发送命令。
网络安全公司 ESET 的安全研究人员发现,黑客还为 macOS 系统准备了恶意软件。他们说,恶意文件是为使用英特尔和苹果芯片的 Mac 编译的,这意味着旧型号和新型号的用户都是目标。
在 Twitter 上的一个帖子中,他们注意到恶意软件会删除三个文件:
Bundle FinderFontsUpdater.app
下载器 safarifontagent
一个名为“Coinbase_online_careers_2022_07”的诱饵 PDF(与 Windows 恶意软件相同)
去年发现了一个针对 macOS 用户并归因于 Lazarus 的类似活动。威胁参与者依赖于相同的虚假工作机会社会工程策略,但使用了不同的 PDF。
ESET 将最近的 macOS 恶意软件与Operation In(ter)ception联系起来,这是一项以类似方式针对知名航空航天和军事组织的 Lazarus 活动。
查看 macOS 恶意软件,研究人员注意到它是在 7 月 21 日签署的(根据时间戳值),并在 2 月份向开发人员颁发了证书,该证书使用名称 Shankey Nohria 和团队标识符 264HFWQH63。
8 月 12 日,该证书尚未被 Apple 吊销。但是,该恶意应用程序并未经过公证——Apple 用于检查软件是否存在恶意组件的自动过程。
Lazarus 使用的 macOS 签名恶意软件
来源:ESET
与之前归因于 Lazarus 黑客组织的 macOS 恶意软件相比,ESET 研究人员观察到下载器组件连接到不同的命令和控制 (C2) 服务器,该服务器在分析时不再响应。
长期以来,朝鲜黑客组织一直与加密货币黑客以及在旨在感染感兴趣目标的网络钓鱼活动中使用虚假工作机会有关
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 朝鲜黑客使用签名的macOS恶意软件瞄准IT求职者