【2025-02-05 06:55:00AI Siri网最新消息】
北朝鲜黑客正在利用虚假的工作邀请和伪装的应用程序更新向Mac电脑潜伏恶意软件。尽管苹果最近更新的XProtect能够阻挡一些威胁,然而仍有部分恶意软件悄然通过。
安全研究人员来自SentinelLabs,近日发现了一种新变种的北朝鲜恶意软件家族,名为“FlexibleFerret”。该恶意软件正积极针对macOS用户实施攻击。这是一个名为“传染性面试”的更广泛活动的一部分,攻击者伪装成招聘人员,以欺骗求职者安装恶意软件。
苹果对此作出了响应,发布了XProtect签名更新,以应对这些威胁,阻挡了多个变种,包括FROSTYFERRET_UI、FRIENDLYFERRET_SECD和MULTI_FROSTYFERRET_CMDCODES。
XProtect是苹果内置的恶意软件检测和移除工具,旨在识别和屏蔽已知的恶意软件。它在后台静默运行,通过定期更新的安全签名在下载或执行文件时检测威胁。
与传统的杀毒软件不同,XProtect在系统级别操作,用户干预极少,能够自动保护Mac设备,而无需用户手动扫描。
在FlexibleFerret中发现的一些恶意软件组件与北朝鲜的Hidden Risk活动中使用的第二阶段有效载荷相似。图片来源:SentinelOne
这一恶意软件活动较早前在12月和1月发现的一些朝鲜来源的威胁有所演变。攻击者采用虚假的Chrome更新和伪装的Zoom安装程序等欺骗策略来感染macOS系统。
该恶意软件的持久性机制和数据提取方法表明这是一个资金充足且由国家支持的操控。
恶意软件传播方式
FlexibleFerret恶意软件主要通过社会工程学进行传播。受害者在虚假的工作面试中遇到错误信息后,被诱导下载表面上看似合法的应用程序,例如VCam或CameraAccess。
事实上,这些应用程序安装了一个在后台运行的恶意持久性代理,窃取敏感数据。一个已识别的包versus.pkg包含多个恶意组件,包括InstallerAlert.app、versus.app和一个名为zoom的流氓二进制文件。
一旦执行,恶意软件将安装一个启动代理以维持持久性,并通过Dropbox与指挥控制服务器通信。
FlexibleFerret投放程序的文件内容,versus.pkg。图片来源:SentinelOne
苹果最近的XProtect更新阻止了伪装为macOS系统文件的关键恶意软件组件,包括com.apple.secd。然而,一些FlexibleFerret变种仍未被检测到,突显了这些威胁不断演变的特性。
保护您的Mac
Mac用户在下载来自不可信来源的软件时应保持谨慎,并对意外的软件安装提示保持怀疑态度。苹果的内置安全措施提供了第一道防线,但额外的终端安全解决方案可以帮助检测和阻止新兴威胁。
像Malwarebytes、Sophos Home和CleanMyMac X等工具为抵御网络攻击提供了额外的保护层。
