【拉闊戰線】Lazarus新增macOS木馬軟件開發員憑證陷阱易上當
北韓國家級黑客集團 Lazarus 拉闊戰線,最新使用一款假扮為 Coinbase 的 macOS 版應用軟件,引誘金融科技從業員安裝。由於這款軟件使用了有效的 Apple 開發員憑證,可令目標人士信以為真。專家警告如收到可疑的工作邀請,即使條件優厚,都不可輕易打開任何檔案或連結。
Lazarus 近年會針對 Web3 企業員工發動攻擊,他們會以社交工程手法獲取目標人物信任,例如假扮為對方的上司或同事,打開內藏惡意指令的檔案,從而於對方的電腦設備內安裝木馬軟件,刺探公司的機密資料。不過,他們的木馬軟件過往主要攻擊 Windows 作業系統為主。網絡安全公司 ESET 研究員最新發表的報告顯示,黑客集團開始拉闊戰線,開發出攻擊 macOS 的木馬軟件,而且同時適用於配備 Intel 及 Apple 自家處理器的 Mac 機。
黑客首先會假扮為 Coinbase 的人事部或獵頭公司,向從事金融科技行業的目標人物聲稱 Coinbase 正有合適職位空缺,邀請對方打開 PDF 文件閱讀職缺內容。,只要目標人士打開檔案,內藏的惡意編碼便會自動執行,並暗中從 C&C 控制中心下載三個檔案,分別是 FinderFontsUpdater.app、safarifontagent 下載器及 Coinbase_online_careers_2022_07 PDF 檔案。為了提高對方的信心,兩個 macOS 檔案都有 Apple 的開發員憑證,該憑證於今年二月獲簽署,是由 Apple 認可的開發員 Shankey Nohria 所擁有。
研究員指出這次攻擊的巧妙之處在於雖然開發員憑證在現階段仍未被吊銷,但只要細心查看,便可發現上述檔案原來還未經 Apple 驗證,而是處於待驗證階段,屬 Apple 正常的自動化審查流程,因此未能保證內裡是否有惡意編碼。所以如收件者看到上述檔案擁有開發員憑證,因此認為 PDF 文件也無可疑之處而打開便會跌入陷阱。研究員指出類似的攻擊手法有上升趨勢,特別是以虛假職位空缺為餌的手法,更在現時 IT 人手不足的環境下大幅上升,相關行業人員要更加提高警覺。
相關文章:【利誘行惡】升級版銀行木馬Escobar 首五個客戶享優惠價兼三日免費試用
https://www.wepro180.com/escobar220315/