有朝鲜背景的黑客组织 Lazarus 使用适用于 macOS 系统的经过签名的恶意可执行文件,冒充 Coinbase 招聘信息并吸引金融技术领域的员工。Lazarus 组织此前就曾使用虚假的工作机会做诱饵,而在近期的恶意活动中,该机构使用包含 Coinbase 职位详细信息的 PDF 文件进行传播。
这个虚假的招聘信息文档叫做“Coinbase_online_careers_2022_07”。当用户点击之后,就会显示上图这样的诱饵 PDF 文件,然后就会调用恶意 DLL,最终允许威胁攻击者向受影响的设备发送命令。
ESET 的网络安全专家表示黑客已经做好攻击 macOS 系统的准备了。专家表示 Intel 和 Apple Silicon 的 Mac 均会受到影响,意味着无论新旧设备都可以成为黑客的攻击目标。
在 Twitter 上的一份帖子中,该恶意文件会释放 3 个文件
- 捆绑的 FinderFontsUpdater.ap
- 下载器 safarifontagent
- 一个称之为 “Coinbase_online_careers_2022_07”的诱饵 PDF 文件。
ESET 将最近的 macOS 恶意软件与 Operation In(ter)ception 联系起来,后者也被认为是 Lazarus 的手笔,以类似的方式攻击知名航空航天和军事组织。
查看 macOS 恶意软件,研究人员注意到它是在 7 月 21 日签署的(根据时间戳值),并在 2 月份向开发人员颁发了证书,该证书使用名称 Shankey Nohria 和团队标识符 264HFWQH63。
8 月 12 日,该证书尚未被 Apple 吊销。但是,该恶意应用程序并未经过公证,这是Apple 用于检查软件是否存在恶意组件的自动过程。
与之前归因于 Lazarus 黑客组织的 macOS 恶意软件相比,ESET 研究人员观察到下载器组件连接到不同的命令和控制 (C2) 服务器,该服务器在分析时不再响应。长期以来,朝鲜黑客组织与加密货币黑客以及在旨在感染感兴趣目标的网络钓鱼活动中使用虚假工作机会有关。