随着加密货币市场的持续升温,网络犯罪势力不断调整和升级攻击手法,特别是针对高价值目标的定向攻击。近期,网络安全公司Huntress发现了一个极具 sophistication 的针对macOS用户的网络攻击行动,目标直指加密货币行业,实施方为朝鲜知名黑客组织BlueNoroff。此次攻击充分展现了黑客们如何利用高新技术与多层次社交工程完美结合,突破以往macOS安全防护的惯性认知。 BlueNoroff集团自2017年以来专注于加密领域的经济驱动型网络攻击,积累了丰富的实战经验。本次事件中,他们锁定了一家加密货币基金会的员工为切入点,借助Telegram发起初步接触,伪装成可信的外部联系人。在发送的一条信息中对方附带了假冒的会议预约链接,伪装成Google Meet,实则引导受害者进入攻击者控制的假冒Zoom域名。
这种多环节的诱导不仅混淆了用户判断,更巧妙利用深度伪造(deepfake)技术制造虚假Zoom视频通话。在数周后的“会议”中,攻击者通过高级视频合成技术呈现出受害公司高级管理层和外部合作方的面孔,极大地增加了骗子话语的可信度。更加诡异的是,受害者无法使用麦克风发言,进一步限制了沟通的真实性验证。 会议过程中,深度伪造的视频角色指示目标下载名为“Zoom扩展”的软件辅助工具,随即通过Telegram发送了一个伪装成故障排除工具的AppleScript文件,该文件实际为高度隐蔽的恶意脚本。一旦执行,脚本首先访问真实的Zoom开发者SDK页面掩饰其行为,然后下载并执行隐藏于超过一万行空白代码之后的真正恶意负载。 研究人员发现,这段AppleScript会关闭bash历史记录功能,并检查目标Mac是否安装了Rosetta 2——一个允许搭载苹果M系列芯片的Mac运行传统x86_64架构应用的兼容层。
若未安装,脚本会悄无声息地进行部署,以保障后续恶意二进制文件的正常运行。紧接着,它在系统临时目录下创建隐藏文件夹,下载恶意负载文件,并通过复杂的注入技术将恶意代码植入一个貌似无害的Swift应用程序。 这个恶意软件工具包包含至少八个组件,全部专为macOS环境量身打造。其中包括用Nim语言编写的持久化二进制Telegram 2,充当主要后门的Go语言编写Root Troy V4,通过C++语言实现的动态库加载器InjectWithDyld,一个作为攻击载体的Swift基础应用程序,以及巧妙编写的键盘记录器和屏幕监控工具——XScreen。这些模块协同作战,提取目标的关键数据 ,尤其集中于加密货币相关文件。 令人警醒的是,整个恶意程序具备极强的隐蔽性及反侦查能力。
如设置仅在Mac显示器关闭时执行关键指令,以规避用户注意;利用AppleScript与进程注入绕过macOS安全机制;甚至包含无实际功能的迷惑性二进制NetChk,增加分析难度。此类复杂程度表明攻击者背后具备丰富的研发资源与长期筹划能力,明显属于有国家背景支持的高端团队。 随着macOS在企业和远程办公中的普及,过去将其视作安全保障较强的系统的认知已逐渐失效。蓝军们也开始将目光转向这一平台,开展针对性极强的攻击。如何提升Mac用户的安全防护能力,成为当务之急。专家建议,保持系统与软件的及时更新,谨慎对待来源不明的邮件、消息及链接,尽量避免直接下载可疑文件,启用多因素认证,定期备份数据,以阻断攻击链中的关键环节。
此次调查也揭示了视频通话即使作为工作交流的重要工具,其信任机制同样可能被攻破。深度伪造视频和音频技术的出现,为网络钓鱼和社会工程攻击提供了新的得力工具。企业需强化员工的安全培训,提高对虚假视频会议与相关恶意软件的警惕心。 总体而言,北朝鲜BlueNoroff针对macOS平台的加密货币用户发起的攻击,展现了现代网络战争中技术与社会工程融合的典范。它警示所有用户,安全态势日益严峻,单靠原有信任假设无法保障隐私与资产安全。只有综合部署先进防护技术,加强用户教育,才能筑牢坚固的安全防线,应对未来更为复杂的威胁挑战。
。
