朝鲜黑客伪装成看似无害的恶意软件应用程序使用复杂的代码绕过安全检查并瞄准毫无戒心的用户。
在最近的一项发现中,Jamf 威胁实验室的研究人员发现了 macOS 应用程序中嵌入的恶意软件,这些应用程序表面上看起来无害。网络犯罪分子使用流行的应用程序构建工具 Flutter 制作的应用程序未能通过典型的安全措施。
Flutter 由 Google 开发,已成为创建跨 macOS 无缝运行的应用程序的最受欢迎的工具,和安卓。它的代码库允许开发人员一次构建应用程序,并使其在所有平台上看起来一致。
但 Flutter 的独特设置也可能让事情变得棘手——尤其是在发现隐藏代码时。在典型的 Flutter 应用程序中,主要代码(用 Dart 语言编写)被捆绑到“dylib”文件中,这是一个稍后由 Flutter 引擎加载的动态库。
虽然功能非常强大,但这种类型的代码结构自然会掩盖代码,使其更难以检查。黑客利用了这种复杂性,以难以检测的方式隐藏恶意代码。
macOS Flutter 攻击如何运作
Jamf 威胁实验室发现了该恶意软件的三个版本,每个版本都针对不同的编程环境(Flutter、Go 和 Python)进行了定制。这三者都使用类似的方法来访问外部服务器(据信在朝鲜控制下),以执行其他恶意命令。
基于 Flutter 的恶意软件主要针对名为“Crypto Exchange 的新更新”的欺骗性应用程序。该应用程序似乎是一个简单的游戏,邀请用户毫无怀疑地玩。
然而,其代码中隐藏着一个功能,该功能连接到先前与朝鲜网络操作相关的域。该功能使该应用程序能够下载能够远程控制受感染 Mac 的其他恶意脚本。
Flutter 应用程序的布局。图片来源:Jamf 实验室
与此同时,Python 变体伪装成一个简单的记事本应用程序并连接到可疑域,下载并运行恶意 AppleScript 来远程控制受害者的计算机。该恶意软件最令人担忧的部分之一是它执行远程 AppleScript 命令的能力。
AppleScript 是 macOS 中的一个工具,可自动执行任务并让应用程序进行通信。该恶意软件使用 AppleScript 远程控制设备并执行捕获数据或安装恶意软件等操作。值得注意的是,恶意脚本是向后编写的以逃避检测。
如何保护自己免受 macOS Flutter 恶意软件的侵害
目前还没有迹象表明这些应用程序已被用于实际攻击,但该恶意软件似乎正处于测试阶段。鉴于朝鲜针对金融部门的历史,加密货币用户和公司可能成为攻击目标。
用户应尽可能从 Apple 的 Mac App Store 下载应用程序,因为那里提供的应用程序都经过安全审查。尽管并非万无一失,但应用程序商店的筛选过程降低了下载有害软件的风险。
默认情况下,macOS 允许用户仅从 App Store 和指定的开发人员下载应用程序,可在“设置”应用程序的“隐私和安全”部分中访问该设置。
保持安全的另一个关键步骤是定期更新 macOS 和已安装的应用程序,因为 Apple 经常发布安全补丁。保持设备和应用程序处于最新状态有助于防范新发现的漏洞。
最后,请谨慎对待与加密货币相关的应用程序,因为黑客经常使用假版本来瞄准它们。承诺快速收益或“听起来好得令人难以置信”的应用程序可能会带来隐藏的风险。
