北韓駭客正在利用針對 Apple 裝置的新型惡意軟體,鎖定加密貨幣公司進行網路攻擊。
根據網路安全公司 Sentinel Labs 週三發布的報告,攻擊者會在 Telegram 等通訊軟體冒充可信人士,然後透過視訊軟體 Google Meet 連結發出假的 Zoom 會議邀請,再傳送一個看似 Zoom 更新檔的檔案給受害者。一旦這個「更新檔」被執行,其中的惡意程式就會在 Mac 電腦上安裝一種名為「NimDoor」的惡意軟體,接著該軟體會針對加密貨幣錢包與瀏覽器密碼進行竊取。
雖然這種攻擊手法相對常見,但該惡意軟體是使用一種罕見的程式語言 Nim 編寫,這使得資安軟體更難偵測到它。研究人員表示:
「儘管這種攻擊的初步階段遵循北韓慣用的手法,利用社交工程、誘餌腳本和假更新檔,但在 macOS 系統上使用 Nim 編譯的執行檔是一項較為罕見的選擇。」
Nim 是一種相對新穎且不常見的程式語言,近來受到網路犯罪分子的歡迎,因為它可以在 Windows、Mac 和 Linux 上無需修改就能執行,這代表駭客只需撰寫一個惡意程式,就能在各平台運作。Nim 同時具備編譯速度快、能產生獨立可執行檔,以及難以被偵測等特性。
Mac 也會中毒
資安解決方案提供商 Huntress 曾在 6 月指出,類似的惡意軟體入侵與北韓支持的駭客組織「BlueNoroff」 有關。研究人員表示,這款惡意軟體引人注意的地方在於它能夠繞過 Apple 的記憶體防護機制,將惡意載荷成功注入系統中。
該惡意軟體被用於鍵盤側錄、螢幕錄影、剪貼簿擷取,並搭載一個名為 CryptoBot 的「全功能資訊竊取工具」,專門鎖定加密貨幣進行竊取。該資訊竊取程式會滲透瀏覽器的擴充應用程式,尋找加密錢包程式來竊取相關資料。
區塊鏈安全公司慢霧(SlowMist)也在社群平台上警告說,目前有一場大規模的惡意行動正在進行中,涉及數十個偽造的 Firefox 擴充功能,這些程式被設計用來竊取加密貨幣錢包憑證。
Sentinel Labs 的研究人員總結指出,過去幾年來,macOS 已逐漸成為駭客的主要目標,尤其是那些技術高度成熟、由國家支持的駭客組織,破除了「Mac 不會中毒」的迷思。
