有朝鮮背景的黑客組織Lazarus使用適用於macOS系統的經過簽名的惡意可執行文件,冒充Coinbase招聘信息並吸引金融技術領域的員工。Lazarus組織此前就曾使用虛假的工作機會做誘餌,而在近期的惡意活動中,該機構使用包含Coinbase職位詳細信息的PDF文件進行傳播。
這個虛假的招聘信息文檔叫做“Coinbase_online_careers_2022_07”。當用戶點擊之後,就會顯示上圖這樣的誘餌 PDF 文件,然後就會調用惡意 DLL,最終允許威脅攻擊者向受影響的設備發送命令。
ESET 的網絡安全專傢表示黑客已經做好攻擊 macOS 系統的準備。專傢表示 Intel 和 Apple Silicon 的 Mac 均會受到影響,意味著無論新舊設備都可以成為黑客的攻擊目標。
在 Twitter 上的一份帖子中,該惡意文件會釋放 3 個文件
● 捆綁的 FinderFontsUpdater.app
● 下載器 safarifontagent
● 一個稱之為 “Coinbase_online_careers_2022_07”的誘餌 PDF 文件。
ESET 將最近的 macOS 惡意軟件與 Operation In(ter)ception 聯系起來,後者也被認為是 Lazarus 的手筆,以類似的方式攻擊知名航空航天和軍事組織。
查看 macOS 惡意軟件,研究人員註意到它是在 7 月 21 日簽署的(根據時間戳值),並在 2 月份向開發人員頒發證書,該證書使用名稱 Shankey Nohria 和團隊標識符 264HFWQH63。
8 月 12 日,該證書尚未被 Apple 吊銷。但是,該惡意應用程序並未經過公證,這是Apple 用於檢查軟件是否存在惡意組件的自動過程。
與之前歸因於 Lazarus 黑客組織的 macOS 惡意軟件相比,ESET 研究人員觀察到下載器組件連接到不同的命令和控制 (C2) 服務器,該服務器在分析時不再響應。長期以來,朝鮮黑客組織與加密貨幣黑客以及在旨在感染感興趣目標的網絡釣魚活動中使用虛假工作機會有關。