以针对求职者而臭名昭著的朝鲜网络间谍活动近期升级了攻击武器库,新增一款专门针对macOS用户的精密工具。安全研究员LunchM0n3y最新分析报告揭露了"DriverFixer0428"------这款伪装成无害系统工具的隐蔽凭证窃取程序,能够绕过防御系统窃取受害者的数字身份。
长期潜伏的"传染性面试"行动
该恶意软件是"传染性面试"(Contagious Interview)行动的最新武器。这个长期运作的攻击活动被归因于朝鲜国家支持的黑客组织,攻击者伪装成招聘人员,以技术面试或编码测试为幌子诱骗软件开发人员和IT专业人员安装恶意软件。
精心设计的欺骗手段
与那些简单粗暴的恶意软件不同,DriverFixer0428更擅长欺骗艺术。它伪装成合法工具,等待用户放松警惕。一旦执行,该恶意软件不仅会运行恶意代码,还会与受害者"对话"。报告指出,该恶意软件"通过模仿macOS系统提示和谷歌Chrome权限请求的复杂社交工程对话框来窃取用户凭证"。
攻击者通过模仿可信系统警报,诱骗用户主动交出密码。获取凭证后,这些信息会被静默打包并外传。
利用合法云服务隐藏行踪
为避免触发网络警报,攻击者将通信流量隐藏在众目睽睽之下。恶意软件不与可疑服务器连接,而是与数百万企业使用的可信云存储服务Dropbox通信。分析报告指出:"该恶意软件展现出与国家支持威胁行为者一致的操作安全性,利用合法云服务进行命令与控制,以规避基于网络的检测。"
这种技术使窃取的数据能够绕过防火墙和安全过滤器------这些防护措施通常会阻止与已知恶意域名的通信。
多层沙箱规避能力
该恶意软件配备了"多层沙箱规避能力",能够检测是否在虚拟机或安全研究人员的分析环境中运行。当检测到处于沙箱环境(如Triage分析环境或苹果虚拟机)时,它会执行"静默消失"------不会崩溃或惊慌,而是进入"不执行有效载荷的空闲事件循环",通过装死来欺骗分析人员认为文件无害。
溯源线索与高度可信的归因
恶意软件内部代码提供了其来源线索。从二进制文件中提取的字符串显示了内部名称"DriverFixer0428",数字后缀可能表示构建日期为4月28日。结合社交工程、精密规避技术以及对macOS开发人员的针对性攻击,所有证据都指向一个熟悉的对手。报告得出结论,该样本"高度可信地归属于朝鲜的'传染性面试'行动"。