?有朝鮮背景的黑客組織 Lazarus 使用適用于 macOS 系統(tǒng)的經(jīng)過(guò)簽名的惡意可執(zhí)行文件，冒充 Coinbase 招聘信息并吸引金融技術(shù)領(lǐng)域的員工。Lazarus 組織此前就曾使用虛假的工作機(jī)會(huì)做誘餌，而在近期的惡意活動(dòng)中，該機(jī)構(gòu)使用包含 Coinbase 職位詳細(xì)信息的 PDF 文件進(jìn)行傳播。

這個(gè)虛假的招聘信息文檔叫做“Coinbase_online_careers_2022_07”。當(dāng)用戶點(diǎn)擊之后，就會(huì)顯示上圖這樣的誘餌 PDF 文件，然后就會(huì)調(diào)用惡意 DLL，最終允許威脅攻擊者向受影響的設(shè)備發(fā)送命令。

ESET 的網(wǎng)絡(luò)安全專家表示黑客已經(jīng)做好攻擊 macOS 系統(tǒng)的準(zhǔn)備了。專家表示 Intel 和 Apple Silicon 的 Mac 均會(huì)受到影響，意味著無(wú)論新舊設(shè)備都可以成為黑客的攻擊目標(biāo)。

在 Twitter 上的一份帖子中，該惡意文件會(huì)釋放 3 個(gè)文件

• 捆綁的 FinderFontsUpdater.ap
• 下載器 safarifontagent
• 一個(gè)稱之為 “Coinbase_online_careers_2022_07”的誘餌 PDF 文件。

ESET 將最近的 macOS 惡意軟件與 Operation In(ter)ception 聯(lián)系起來(lái)，后者也被認(rèn)為是 Lazarus 的手筆，以類似的方式攻擊知名航空航天和軍事組織。

查看 macOS 惡意軟件，研究人員注意到它是在 7 月 21 日簽署的（根據(jù)時(shí)間戳值），并在 2 月份向開(kāi)發(fā)人員頒發(fā)了證書(shū)，該證書(shū)使用名稱 Shankey Nohria 和團(tuán)隊(duì)標(biāo)識(shí)符 264HFWQH63。

8 月 12 日，該證書(shū)尚未被 Apple 吊銷。但是，該惡意應(yīng)用程序并未經(jīng)過(guò)公證，這是Apple 用于檢查軟件是否存在惡意組件的自動(dòng)過(guò)程。

與之前歸因于 Lazarus 黑客組織的 macOS 惡意軟件相比，ESET 研究人員觀察到下載器組件連接到不同的命令和控制 (C2) 服務(wù)器，該服務(wù)器在分析時(shí)不再響應(yīng)。長(zhǎng)期以來(lái)，朝鮮黑客組織與加密貨幣黑客以及在旨在感染感興趣目標(biāo)的網(wǎng)絡(luò)釣魚(yú)活動(dòng)中使用虛假工作機(jī)會(huì)有關(guān)。