北韓駭客偽裝成看似無害的惡意軟體應用程式使用複雜的程式碼繞過安全檢查並瞄準毫無戒心的用戶。
在最近的一項發現中,Jamf 威脅實驗室的研究人員發現了 macOS 應用程式中嵌入的惡意軟體,這些應用程式表面上看起來無害。網路犯罪分子使用流行的應用程式建立工具 Flutter 製作的應用程式未能通過典型的安全措施。
Flutter 由 Google 開發,已成為創建跨 macOS 無縫運行的應用程式的最受歡迎的工具,和安卓。它的程式碼庫允許開發人員一次建立應用程序,並使其在所有平台上看起來一致。
但 Flutter 的獨特設定也可能會讓事情變得棘手——尤其是在發現隱藏程式碼時。在典型的 Flutter 應用程式中,主要程式碼(用 Dart 語言編寫)被捆綁到“dylib”檔案中,這是一個稍後由 Flutter 引擎加載的動態庫。
雖然功能非常強大,但這種類型的程式碼結構自然會掩蓋程式碼,使其更難檢查。駭客利用了這種複雜性,以難以檢測的方式隱藏惡意程式碼。
macOS Flutter 攻擊如何運作
Jamf 威脅實驗室發現了該惡意軟體的三個版本,每個版本都針對不同的程式設計環境(Flutter、Go 和 Python)進行了客製化。這三者都使用類似的方法來存取外部伺服器(據信在北韓控制下),以執行其他惡意命令。
基於 Flutter 的惡意軟體主要針對名為「Crypto Exchange 的新更新」的欺騙性應用程式。該應用程式似乎是一個簡單的遊戲,邀請用戶毫無懷疑地玩。
然而,其代碼中隱藏著一個功能,該功能連接到先前與北韓網路操作相關的域。該功能使該應用程式能夠下載能夠遠端控制受感染 Mac 的其他惡意腳本。
Flutter 應用程式的佈局。圖片來源:Jamf 實驗室
同時,Python 變體偽裝成一個簡單的記事本應用程式並連接到可疑域,下載並運行惡意 AppleScript 來遠端控制受害者的電腦。該惡意軟體最令人擔憂的部分之一是它執行遠端 AppleScript 命令的能力。
AppleScript 是 macOS 中的一個工具,可自動執行任務並讓應用程式進行通訊。該惡意軟體使用 AppleScript 遠端控制裝置並執行擷取資料或安裝惡意軟體等操作。值得注意的是,惡意腳本是向後編寫的以逃避偵測。
如何保護自己免受 macOS Flutter 惡意軟體的侵害
目前還沒有跡象表明這些應用程式已被用於實際攻擊,但該惡意軟體似乎正處於測試階段。鑑於北韓針對金融部門的歷史,加密貨幣用戶和公司可能成為攻擊目標。
用戶應盡可能從 Apple 的 Mac App Store 下載應用程序,因為那裡提供的應用程式都經過安全審查。儘管並非萬無一失,但應用程式商店的篩選過程降低了下載有害軟體的風險。
預設情況下,macOS 允許用戶僅從 App Store 和指定的開發人員下載應用程序,可在「設定」應用程式的「隱私和安全」部分中存取該設定。
保持安全的另一個關鍵步驟是定期更新 macOS 和已安裝的應用程序,因為 Apple 經常發布安全性修補程式。保持設備和應用程式處於最新狀態有助於防範新發現的漏洞。
最後,請謹慎對待與加密貨幣相關的應用程序,因為駭客經常使用假版本來瞄準它們。承諾快速收益或「聽起來好得令人難以置信」的應用程式可能會帶來隱藏的風險。
