【安全资讯】朝鲜黑客利用Thiefbucket恶意软件攻击加密货币开发者
概要:
Jamf Threat Labs最近发现了一系列针对加密货币行业个人的定向攻击,这些攻击与FBI近期关于朝鲜网络活动的警告相一致。攻击者使用复杂的社会工程策略,通过专业社交平台如LinkedIn诱骗受害者下载恶意软件。主要内容:
在一次观察到的攻击中,一名假冒的招聘人员以提供编码挑战为名联系了一名开发者。这一挑战通过Visual Studio项目交付,内含隐藏的恶意脚本,旨在在受害者的机器上安装第二阶段的有效载荷。朝鲜的攻击者展示了其在使用社会工程策略方面的高超技巧,通过冒充招聘人员或同事在专业社交网站上接触目标。根据FBI的说法,这些攻击者通过审查社交媒体资料对目标进行详细研究,使其攻击更具说服力。Jamf研究的一个案例中,一个假冒的LinkedIn资料声称来自一个去中心化金融(DeFi)技术公司,用于联系潜在受害者。该资料没有任何关注者,这是一个明显的红旗,并使用了一个精心制作但虚假的网站来增强其合法性。
在观察到的攻击中,恶意的Visual Studio项目要求开发者将Slack消息转换为CSV格式,这看似无害的任务实际上隐藏了两个恶意的bash脚本,这些脚本下载并执行了额外的恶意软件,后来被识别为“Thiefbucket”恶意软件。该有效载荷允许攻击者窃取数据并在受感染的机器上保持持久访问。两个有效载荷,VisualStudioHelper和zsh_env,通过滥用cron作业和zshrc配置文件来建立持久性。VisualStudioHelper作为信息窃取器,而zsh_env则作为后门。
0条评论
看了这么久,请
登录
,对他说点啥~
0
0
分享
微信扫一扫分享