吳明宜北韓駭客向Mac用戶下手!感染雙因素2FA應用程式再植入木馬
北韓駭客組織Lazarus Group透過感染合法的macOS版雙因素認證(2FA)應用程式,達到在Mac版電腦用戶植入遠端存取木馬程式(RAT) Dacls的目的。
Dacls原本僅被用來攻擊Windows 和Linux用戶,但安全廠商Malwarebytes近日發現它已被改造成macOS版本,正是出自Lazarus Group之手。Lazarus Group便是以Mac平台為主要攻擊目標。
如果你不認識Lazarus Group,2014年入侵索尼影業(Sony Picture),駭入電腦揚言恐嚇、盜走孟加拉央行1億美金,以及2017年讓全球電廠、機場和醫院都癱瘓的WannaCry都是這個組織的傑作。
他們將Dacls注入很受中國用戶歡迎的免費版Mac版2FA App,稱為MinaOTP中,並改名為TinkaOTP。上個月駭客將TinkaOTP由香港上傳到Google的VirusTotal 掃瞄服務,而且通過了掃瞄。研究人員發現,不僅如此,TinkaOTP通過了59家防毒引擎中的23家。
不論是Windows、Linux和Mac檔本的Dacls RAT都具有指令執行、檔案管理、traffic proxing及蠕蟲掃瞄的能力。若Mac用戶不小心安裝了這款程式,Dacls就會在重開機後執行並加入到系統中的LaunchDaemons 和LaunchAgents使用的plist檔中,以便未來每次重開機即啟動。
從憑證檔、組態檔等檔案性質分析,Mac版Windows、Linux檔Dacls多所相似性。此外,也有類似負責蒐集、刪除檔案、掃瞄網路、連接C&C伺服器、接收及執行指令等外掛元件。和任何木馬程式一樣,啟動後,Dacls就會將組態檔資訊上傳C&C伺服器,下載與更新組態檔,並定期在Mac電腦中蒐集受害者重要資訊。
Lazarus Group過去也曾經將惡意程式注入到加密貨幣交易的app來攻擊Mac電腦用戶。
希望你的防毒軟體能偵測到這支木馬程式,目前微軟、MalwareBytes、卡巴斯基和趨勢科技都可以攔到。