伪造的macOSPDF查看器针对的是Apple设备这只是恶意软件
互联网 2023-05-10 14:51:50
(资料图)
安全专家警告说,Apple设备正成为伪装成伪造的macOSPDF查看器的新恶意软件变体的目标。
Jamf威胁实验室的网络安全研究人员发布了一份报告,其中详细介绍了一种新的ApplemacOS恶意软件(在新标签页中打开)应变称为RustBucket。
RustBucket本质上是一个加载程序,用于将第二阶段恶意软件传送到目标端点。它以“InternalPDFViewer”文件名分发,虽然研究人员没有讨论分发渠道,但可以安全地假设它是通过网络钓鱼电子邮件和恶意网站发送的。
RustBucket的警告是为了工作——受害者需要手动覆盖Gatekeeper保护。如果他们这样做,他们就有可能获得用Objective-C编写的第二阶段有效载荷,而后者又会交付最终的有效载荷——用Rust编写的Mach-O可执行文件。研究人员说,这种恶意软件可以运行系统侦察命令。
“攻击者使用的这种PDF查看器技术非常聪明,”研究人员说。“此时,为了进行分析,我们不仅需要第二阶段的恶意软件,还需要正确的PDF文件作为密钥,以便在应用程序中执行恶意代码。”
该活动背后的威胁参与者称为BlueNoroff——有时也称为APT28、NickelGladstone、SapphireSleet、StardustChollima或TA444。
实际上,该组织是LazarusGroup的一部分,LazarusGroup是来自的臭名昭著的国家支持的威胁组织。Lazarus是世界上最著名的威胁行为者之一,除其他外,他对2022年6月发生的Harmony桥攻击负责。那次针对流行的加密业务的攻击导致各种加密货币价值约1亿美元被盗。
Lazarus还支持了2022年初发生的浪人桥攻击,该组织窃取了6.25亿美元的各种加密货币。
