IT之家 6 月 19 日消息,科技媒体 bleepingcomputer 昨日(6 月 18 日)发布博文,报道称黑客组织 BlueNoroff(又称 Sapphire Sleet、TA444)通过伪造公司高管的 Zoom 视频会议,诱导员工安装定制恶意软件。
该组织以盗窃加密货币为目标,攻击专门针对 macOS 设备,于 2025 年 6 月 11 日被 Huntress 研究人员发现。
IT之家援引博文介绍,BlueNoroff 已通过深度伪造(Deepfake)技术,定向钓鱼某科技公司员工:黑客伪装成外部专业人士,通过 Telegram 发送虚假日程链接,诱导受害者加入看似正常的 Google Meet 会议。
实际链接跳转至黑客控制的伪造 Zoom 域名。会议中,伪造的公司高管视频与“外部参与者”共同出现,增强欺骗性。
会议中,受害者遭遇麦克风故障,伪造的高管“建议”下载“Zoom 扩展程序”修复问题。该链接引导受害者下载 AppleScript 文件(zoom_sdk_support.scpt),该文件执行后伪装成合法 Zoom 支持页面,触发恶意命令,从伪造的 Zoom 服务器(httpssupportus05webzoombiz)下载二次载荷。
Huntress 发现,攻击共植入 8 种恶意程序,核心模块包括:
Telegram 2:以 Nim 语言编写,伪装成 Telegram 更新程序,周期性运行并作为后续攻击入口。其使用合法开发者证书,规避检测。
Root Troy V4:Go 语言开发的远程控制后门,支持远程代码执行、休眠状态指令队列及载荷下载,是攻击中枢。
InjectWithDyld:第二阶段加载器,通过 AES 密钥解密并注入加密恶意代码,利用 macOS 特定 API 实现进程注入,并具备清除日志的反取证功能。
XScreen(keyboardd):监控模块,持续记录键盘输入、屏幕画面及剪贴板内容,实时回传至指挥服务器。
CryptoBot(airmond):针对加密货币的钱包信息窃取器,支持 20 余个平台,数据加密缓存后外发。
Huntress 指出,尽管 Mac 用户普遍认为自身受攻击风险较低,但随着该系统在企业中的普及,黑客正加速开发针对性威胁。
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。