摘要:安全研究揭示,与朝鲜相关的黑客组织Lazarus正通过伪装成Zoom或Google Meet会议的社交工程手段,在macOS系统中部署名为Mach-O的恶意软件工具包。该攻击链可窃取浏览器数据、密钥串信息并经Telegram外传,随后自动清除痕迹,凸显其对加密行业及传统企业的双重威胁。
币圈界报道:
Lazarus集团利用伪造会议入侵苹果生态,部署隐蔽恶意软件
近期出现的macOS恶意软件活动被安全研究人员关联至与朝鲜有关的黑客组织Lazarus,该组织曾主导多起重大加密资产盗窃事件。此次追踪到的工具包名为Mach-O,通过针对企业和加密公司的ClickFix社会工程框架进行传播,以极具欺骗性的虚拟会议邀请诱导用户执行恶意指令。
攻击者借虚拟会议诱骗用户,实现无感植入
攻击流程始于精心设计的会议邀约,伪装为合法的Zoom或Google Meet日程通知,引导受害者加入看似正常的会话。在互动过程中,攻击者诱导用户运行特定命令,从而在后台静默下载并安装恶意组件。这种手法有效规避了常规端点防护机制,使攻击得以在低察觉状态下完成初始渗透。
数据窃取与自毁机制协同运作,留下极小数字痕迹
一旦部署成功,该恶意软件即启动数据采集模块,定向提取浏览器扩展配置、已保存登录凭证、Cookie记录以及macOS钥匙串中的敏感条目。所有收集内容被打包为压缩文件,并通过Telegram渠道快速外泄,因其具备高传输效率和较强的执法绕过能力。完成数据输出后,工具包立即调用系统rm命令执行自我销毁,彻底清除本地残留,显著增加事后溯源难度。
从加密原生目标转向跨行业渗透,攻击面持续扩张
Mach-O的出现标志着Lazarus集团战略重心的转变——不再局限于加密领域,而是将传统企业纳入攻击范围。这一趋势与其近年来不断扩展的技术工具集和基础设施访问能力相一致。过往案例如2025年对Bybit交易所造成14亿美元损失的攻击,以及四月对Zerion团队实施的AI辅助社会工程行动,均表明该组织擅长结合网络钓鱼、身份冒用与权限提升,构建复杂且高效的入侵路径。
强化防御需融合行为监控与访问控制策略
面对此类高级威胁,防御体系必须从单一防护转向综合态势感知。建议采取最小权限原则,部署应用白名单机制,监控来自可信程序的异常下载行为,并建立对分阶段感染链的检测规则。鉴于数据外传依赖Telegram,应加强对非常用通信通道的出站流量审查,必要时在网络层实施限制措施。同时,加强用户教育,提升对伪装性会议请求的识别能力,是抵御社会工程攻击的关键一环。
随着攻击模式不断演化,未来可能涌现出具备更强逃避技术或更广泛数据采集能力的新变种。观察者将持续关注该组织在跨平台战术上的新动向,尤其是其命令与控制通道及数据外传方式是否发生调整。当前形势预示,Mach-O或许只是更大规模威胁演变的一部分,亟需构建具备快速响应能力的全局性威胁情报整合机制。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。