朝鲜黑客利用 Mac 恶意软件瞄准加密货币

Enda

2025-06-20

网络安全公司 Huntress 发现了一场针对加密货币领域 Mac 用户的高度复杂的黑客活动，该活动在异常复杂的操作中利用了 Deepfake Zoom 通话、巧妙的社会工程和 Mac 特定的恶意软件。

在合作伙伴报告可疑活动后，Huntress 于 2025 年 6 月 11 日开始调查此次入侵。此次攻击最终归因于朝鲜黑客组织 BlueNoroff（也称为 Sapphire Sleet 或 TA444），该组织至少自 2017 年以来一直针对加密货币领域开展经济驱动的活动。

有关的：Target iPhone 以旧换新计划：您需要了解的内容

黑客专门针对 macOS 用户，利用 Deepfake 技术在虚假 Zoom 会议中冒充公司高管，窃取加密货币。

骗局是如何运作的

这一切都始于加密货币基金会的一名员工（目标）在 Telegram 上收到外部联系人发来的看似无害的消息，要求会面。攻击者分享了一个 Calendly 链接，该链接似乎安排了 Google Meet 通话，但点击该链接会将用户重定向到由威胁行为者控制的虚假 Zoom 域。

几周后，该员工参加了一次“Zoom 会议”，会议中充满了模仿公司内部高级领导层的深度假货以及外部联系人。在会议期间，该员工无法使用麦克风，deepfakes 指示他们下载“Zoom 扩展程序”。通过 Telegram 发送给他们的该扩展的链接原来是一个伪装成故障排除工具的恶意 AppleScript 文件 (zoom_sdk_support.scpt)。

下载后，AppleScript 首先打开 Zoom SDK 的合法网页，但在超过 10,500 个空行后，它从恶意网站 https[://]support[.]us05web-zoom[.]biz 下载有效负载并执行。

当 Huntress 开始调查时，最终的有效负载已经从攻击者的服务器中删除。然而，他们在 VirusTotal 上找到了一个版本，该版本提供了有关恶意软件设计目的的宝贵见解。

Huntress 研究人员表示：“该脚本首先禁用 bash 历史记录，然后检查是否安装了 Rosetta 2（允许 Apple Silicon Mac 运行 x86_64 二进制文件）”解释了在周三的一篇博客文章中。

“如果不是，它会默默地安装它以确保 x86_64 有效负载可以运行。然后它会创建一个名为 .pwd 的文件，由于前面有一段时间，该文件在用户的视图中隐藏，并将有效负载从恶意的假 Zoom 页面下载到 /tmp/icloud_helper。”

专门针对 Mac 量身定制的恶意软件

与标准的现成恶意软件不同，这种攻击涉及一个定制的工具包，其中至少有八个独立的组件，全部都是专门为 macOS 定制的。他们是：

电报2：用 Nim 编写的持久二进制文件，负责启动主要后门。
Root Troy V4（远程）：用Go编写的全功能后门，能够下载并执行其他恶意工具。
InjectWithDyld（“a”）：由 Root Troy V4 下载的 C++ 二进制加载器，负责解密和加载两个额外的植入程序。
- 基础应用程序：看似无害的 Swift 应用程序，却充当恶意代码的注入目标。
- 有效负载：用 Nim 编写的不同植入程序，旨在在受感染的系统上执行命令。
XScreen（键盘）：用 Objective-C 编写的功能强大的键盘记录器，能够捕获击键、剪贴板内容和屏幕活动。
加密机器人（airmond）：一个基于 Go 的工具，旨在从受害者的机器上收集与加密货币相关的文件。
网络检查：一个没有任何有意义功能的诱饵二进制文件，将永远生成随机数，可能是为了混淆或误导。