专门针对苹果Mac用户:新型攻击被曝光,深度伪造Zoom会议分发恶意软件
专门针对苹果Mac用户:新型攻击被曝光,深度伪造Zoom会议分发恶意软件
6月19日消息,科技媒体 bleepingcomputer 昨日(6月18日)发布博文,报道称黑客组织 BlueNoroff(又称 Sapphire Sleet、TA444)通过伪造公司高管的 Zoom 视频会议,诱导员工安装定制恶意软件。该组织以盗窃加密货币为目标,攻击专门针对 macOS 设备,于 2025年6月11日被 Huntress 研究人员发现。
4分贝援引博文介绍,BlueNoroff 已通过深度伪造(Deepfake)技术,定向钓鱼某科技公司员工:黑客伪装成外部专业人士,通过 Telegram 发送虚假日程链接,诱导受害者加入看似正常的 Google Meet 会议。
实际链接跳转至黑客控制的伪造 Zoom 域名。会议中,伪造的公司高管视频与“外部参与者”共同出现,增强欺骗性。
会议中,受害者遭遇麦克风故障,伪造的高管“建议”下载“Zoom 扩展程序”修复问题。该链接引导受害者下载 AppleScript 文件(zoom_sdk_support.scpt),该文件执行后伪装成合法 Zoom 支持页面,触发恶意命令,从伪造的 Zoom 服务器(httpssupportus05webzoombiz)下载二次载荷。
Huntress 发现,攻击共植入 8 种恶意程序,核心模块包括:
Telegram 2:以 Nim 语言编写,伪装成 Telegram 更新程序,周期性运行并作为后续攻击入口。其使用合法开发者证书,规避检测。
Root Troy V4:Go 语言开发的远程控制后门,支持远程代码执行、休眠状态指令队列及载荷下载,是攻击中枢。
InjectWithDyld:第二阶段加载器,通过 AES 密钥解密并注入加密恶意代码,利用 macOS 特定 API 实现进程注入,并具备清除日志的反取证功能。
XScreen(keyboardd):监控模块,持续记录键盘输入、屏幕画面及剪贴板内容,实时回传至指挥服务器。
CryptoBot(airmond):针对加密货币的钱包信息窃取器,支持 20 余个平台,数据加密缓存后外发。
Root Troy V4:Go 语言开发的远程控制后门,支持远程代码执行、休眠状态指令队列及载荷下载,是攻击中枢。
InjectWithDyld:第二阶段加载器,通过 AES 密钥解密并注入加密恶意代码,利用 macOS 特定 API 实现进程注入,并具备清除日志的反取证功能。
XScreen(keyboardd):监控模块,持续记录键盘输入、屏幕画面及剪贴板内容,实时回传至指挥服务器。
CryptoBot(airmond):针对加密货币的钱包信息窃取器,支持 20 余个平台,数据加密缓存后外发。
Huntress 指出,尽管 Mac 用户普遍认为自身受攻击风险较低,但随着该系统在企业中的普及,黑客正加速开发针对性威胁。
免责声明:
本站提供的一切内容信息、软件、教程、影音仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络收集整理,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。如果您喜欢该程序和内容,请支持正版,购买注册,得到更好的正版服务。我们非常重视版权问题,如有侵权请邮件与我们联系处理。敬请谅解!
