新型macOS恶意软件变种威胁数字货币领域

关键要点

新的macOS恶意软件变种“ObjCShellz”被认为与北朝鲜支持的BlueNoroff子集团有关，主要针对数字货币交易所、风险投资公司和银行。 该恶意软件通过社交工程进行传播，具备通过远程命令控制受感染系统的能力。 它现在伪装成合法软件，可能难以被检测，从而威胁到用户的敏感数据，如数字货币钱包和密码。对于macOS用户来说，这一新变种强调了即便是相对不常被攻击的平台也存在风险。

新发现的macOS恶意软件变种被归咎于 BlueNoroff，这是一个与北朝鲜支持的 Lazarus Group 有关的子集团，现已确认它主要针对数字货币交易所、风险投资公司和银行。

在 Jamf的博客文章中 ，Jamf Threat Labs 表示他们怀疑该恶意软件处于多阶段恶意软件的后期阶段，并通过社交工程传播。研究人员将此恶意软件命名为“ObjCShellz”，并将其与RustBucket活动联系在一起。RustBucket首次发现于2021年，利用假装为招聘人员的钓鱼邮件感染目标，这些邮件传播后门恶意软件，能够窃取数据并远程控制受感染的系统。

Jamf Threat Labs的主任Jaron Bradley指出，这个活动的不同之处在于威胁行为者的针对性。他表示，与一些需要对大量公司个人进行社交工程尝试的恶意软件活动不同，这些行为者专门针对他们怀疑拥有数字货币访问权限的特定用户。

“与此活动相关的危险是显著的，因为它允许攻击者向系统发送远程命令，并在后台执行这些命令，可能甚至允许将更危险的有效载荷在某个时候传送到系统上，”Bradley说道。“为了防止此恶意软件，不要以为Mac天然不容易受到攻击。要训练用户识别社交工程的类型，并鼓励他们保持警惕。”

Jamf Threat Labs对新恶意软件变种的发现表明，BlueNoroff仍在继续开发新型和复杂的恶意软件，Menlo Security的网络安全专家Ngoc Bui指出。Bui强调，恶意软件在上传时未被VirusTotal检测到，这表明BlueNoroff已采取措施来规避检测。

“如果你一直在关注来自北朝鲜的各种APT和活动，那么这个事情相当重要，”Bui表示。“新发现的恶意软件变种对macOS用户来说是危险的，因为它伪装成合法软件，且可能难以被检测。该恶意软件还可能窃取敏感数据，如数字货币钱包和密码。较低的检测率意味着它可能会绕过防病毒软件。”

小火箭流量购买

Viakoo Labs的副总裁John Gallagher补充说，多阶段恶意软件，甚至是自我变形的恶意代码，最大的危险在于最好在入侵点停住它。

Gallagher表示，正如这里所发现的，没人知道初步访问是如何进行的，因此所有数字连接资产尤其是那些在IT外部管理的物联网/运营技术系统都应该有一个安全计划及一致的网络卫生流程，并进行全组织范围内的社交工程威胁培训。

“像BlueNoroff和Lazarus Group这样的威胁行为者组织将继续使用并进一步开发基于RustBucket的新威胁，直到能够获得更好的防御措施来抵抗这个或其他多阶段恶意软件，”Gallagher说。“这并不是因为它们都与北朝鲜有关，而是因为RustBucket在获取资金方面的成功。”

StrikeReady的首席产品官Anurag Gurtu表示，此次BlueNoroff工具包的扩展显得格外重要，它针对macOS用户，显示出即便是较少受到攻击的系统也存在风险，尤其是在macOS在商业环境中日益流行的情况下。

“这也