北韓駭客向 Mac 用戶下手!感染雙因素 2FA 應用程式再植入木馬

北韓駭客組織Lazarus Group透過感染合法的macOS版雙因素認證(2FA)應用程式,達到在Mac版電腦用戶植入遠端存取木馬程式(RAT) Dacls的目的。

北韓駭客組織 Lazarus Group 透過感染合法的 macOS 版雙因素認證 (2FA) 應用程式,達到在 Mac 版電腦用戶植入遠端存取木馬程式 (RAT) Dacls 的目的。

Dacls 原本僅被用來攻擊 Windows 和 Linux 用戶,但安全廠商 Malwarebytes 近日發現它已被改造成 macOS 版本,正是出自 Lazarus Group 之手。Lazarus Group 便是以 Mac 平台為主要攻擊目標。

如果你不認識 Lazarus Group,2014 年入侵索尼影業 (Sony Picture),駭入電腦揚言恐嚇、盜走孟加拉央行 1 億美金,以及 2017 年讓全球電廠、機場和醫院都癱瘓的 WannaCry 都是這個組織的傑作。

他們將 Dacls 注入很受中國用戶歡迎的免費版 Mac 版 2FA App,稱為 MinaOTP 中,並改名為 TinkaOTP。上個月駭客將 TinkaOTP 由香港上傳到 Google 的 VirusTotal 掃瞄服務,而且通過了掃瞄。研究人員發現,不僅如此,TinkaOTP 通過了 59 家防毒引擎中的 23 家。

不論是 Windows、Linux 和 Mac 檔本的 Dacls RAT 都具有指令執行、檔案管理、traffic proxing 及蠕蟲掃瞄的能力。若 Mac 用戶不小心安裝了這款程式,Dacls 就會在重開機後執行並加入到系統中的 LaunchDaemons 和 LaunchAgents 使用的 plist 檔中,以便未來每次重開機即啟動。

從憑證檔、組態檔等檔案性質分析,Mac 版 Windows、Linux 檔 Dacls 多所相似性。此外,也有類似負責蒐集、刪除檔案、掃瞄網路、連接 C&C 伺服器、接收及執行指令等外掛元件。和任何木馬程式一樣,啟動後,Dacls 就會將組態檔資訊上傳 C&C 伺服器,下載與更新組態檔,並定期在 Mac 電腦中蒐集受害者重要資訊。

Lazarus Group 過去也曾經將惡意程式注入到加密貨幣交易的 app 來攻擊 Mac 電腦用戶。

希望你的防毒軟體能偵測到這支木馬程式,目前微軟、MalwareBytes、卡巴斯基和趨勢科技都可以攔到。

來源:Security Affairs

 

關於我們

自 1990 年創刊 UXmaster 雜誌,1991 年獲得美國 LAN Magazine 獨家授權中文版,2006 年獲得 CMP Network Computing 授權,2009 年合併 CMP Network Magazine 獨家授權中文版,2014 年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT 人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2023 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416