北韓駭客向Mac用戶下手!感染雙因素2FA應用程式再植入木馬

北韓駭客組織Lazarus Group透過感染合法的macOS版雙因素認證(2FA)應用程式,達到在Mac版電腦用戶植入遠端存取木馬程式(RAT) Dacls的目的。

北韓駭客組織Lazarus Group透過感染合法的macOS版雙因素認證(2FA)應用程式,達到在Mac版電腦用戶植入遠端存取木馬程式(RAT) Dacls的目的。

Dacls原本僅被用來攻擊Windows 和Linux用戶,但安全廠商Malwarebytes近日發現它已被改造成macOS版本,正是出自Lazarus Group之手。Lazarus Group便是以Mac平台為主要攻擊目標。

如果你不認識Lazarus Group,2014年入侵索尼影業(Sony Picture),駭入電腦揚言恐嚇、盜走孟加拉央行1億美金,以及2017年讓全球電廠、機場和醫院都癱瘓的WannaCry都是這個組織的傑作。

他們將Dacls注入很受中國用戶歡迎的免費版Mac版2FA App,稱為MinaOTP中,並改名為TinkaOTP。上個月駭客將TinkaOTP由香港上傳到Google的VirusTotal 掃瞄服務,而且通過了掃瞄。研究人員發現,不僅如此,TinkaOTP通過了59家防毒引擎中的23家。

不論是Windows、Linux和Mac檔本的Dacls RAT都具有指令執行、檔案管理、traffic proxing及蠕蟲掃瞄的能力。若Mac用戶不小心安裝了這款程式,Dacls就會在重開機後執行並加入到系統中的LaunchDaemons 和LaunchAgents使用的plist檔中,以便未來每次重開機即啟動。

從憑證檔、組態檔等檔案性質分析,Mac版Windows、Linux檔Dacls多所相似性。此外,也有類似負責蒐集、刪除檔案、掃瞄網路、連接C&C伺服器、接收及執行指令等外掛元件。和任何木馬程式一樣,啟動後,Dacls就會將組態檔資訊上傳C&C伺服器,下載與更新組態檔,並定期在Mac電腦中蒐集受害者重要資訊。

Lazarus Group過去也曾經將惡意程式注入到加密貨幣交易的app來攻擊Mac電腦用戶。

希望你的防毒軟體能偵測到這支木馬程式,目前微軟、MalwareBytes、卡巴斯基和趨勢科技都可以攔到。

來源:Security Affairs

 

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416