有安全研究人員發現,現在北韓駭客正在利用虛假求職邀約與偽裝的應用程式更新,在 macOS 系統上安裝惡意軟體。儘管蘋果最新的 XProtect 更新已經封鎖部分威脅,但仍有部分惡意程式成功滲透。
這是由美國資安業者 SentinelLabs 安全專家所發現,並確認了一種新的北韓惡意軟體變種,名為 「FlexibleFerret」,其專門針對 macOS 用戶進行攻擊。這款惡意軟體是更大規模攻擊行動 「Contagious Interview」(傳染性面試)的一部分,駭客假冒為招聘人員,誘騙求職者下載並安裝惡意軟體。
蘋果已經透過 XProtect 簽名更新來對抗這些威脅,成功攔截了多個變種,包括 FROSTYFERRET_UI、FRIENDLYFERRET_SECD 和 MULTI_FROSTYFERRET_CMDCODES。
XProtect 是蘋果內建的 macOS 惡意軟體偵測與移除工具,主要負責識別與封鎖已知的惡意軟體。它會在背景靜默運行,透過定期更新的安全簽名來偵測威脅,當用戶下載或執行文件時自動檢測。與傳統的防毒軟體不同,XProtect 屬於系統層級防護機制,幾乎不需要用戶手動操作,即可自動保護 Mac 設備。
這場惡意軟體攻擊行動的手法來自去年 12 月與今年 1 月發現的北韓駭客攻擊變種,並且進一步進化。駭客透過偽裝成 Chrome 更新程式或虛假 Zoom 安裝程式來入侵 macOS 系統,讓受害者誤以為是在安裝官方軟體。
該惡意軟體的持續滲透機制與數據竊取技術顯示出,這是一個國家級支持且資金充足的駭客行動。
FlexibleFerret 惡意軟體主要透過社交工程來進行傳播,受害者通常會在假求職面試過程中,因遇到錯誤訊息而被誘導下載看似合法的應用程式,例如 VCam 或 CameraAccess。然而這些應用程式實際上會安裝一個惡意持續性代理程式,在背景運行並竊取敏感數據。
其中一個已確認的惡意套件 versus.pkg,包含多個惡意組件,如 InstallerAlert.app、versus.app,以及一個偽裝成 Zoom 應用程式的惡意二進位檔。
一旦執行,惡意軟體會在 macOS 系統中安裝啟動代理程式(launch agent)以維持持續運行,並透過 Dropbox 指揮與控制(C2)伺服器與攻擊者通信,以遠端操控受害設備。
蘋果 XProtect 更新阻擋部分攻擊,但仍有變種未被偵測,XProtect 更新已經成功攔截部分偽裝成 macOS 系統文件的惡意程式,例如 com.apple.secd。然而,仍有一些 FlexibleFerret 變種未被偵測到,顯示這類攻擊技術仍在不斷進化。
要如何防範這一類的攻擊?
老話一句,應避免從不受信任的來源下載軟體,並對任何意外出現的軟體安裝提示保持警惕。且也建議使用者可以搭配使用一些第三方安全工具,來添加額外的防護。
(首圖來源:Flickr/Christiaan Colen CC BY 2.0)
科技新報粉絲團
加入好友
訂閱免費電子報
