近期,长期以诱骗求职者著称的朝鲜背景网络间谍活动再次升级,其攻击体系中新增了一款专门针对 macOS 平台的高隐蔽性恶意程序。安全研究人员 LunchM0n3y 发布的最新分析报告披露,这款名为 “DriverFixer0428” 的恶意软件表面上伪装成普通系统工具,实则是一种高度精细化的凭证窃取程序,能够在不触发常规防护的情况下窃取用户的数字身份信息。
“传染性面试”行动的最新变种
该恶意程序被确认隶属于持续多年的 “传染性面试”(Contagious Interview) 攻击行动。该行动普遍被认为由朝鲜国家支持的黑客组织发起,主要针对软件工程师、开发者及 IT 从业者。攻击者通常冒充招聘人员,通过技术面试、编程测试或项目评估的名义,引导受害者下载并运行带有恶意代码的文件。
以“可信”为核心的社会工程设计
与传统恶意软件直接执行破坏行为不同,DriverFixer0428 更强调心理层面的欺骗。程序在启动后,会以“合法工具”的形态静默运行,并在关键时刻弹出高度仿真的交互窗口。研究人员指出,该恶意软件会刻意模仿 macOS 系统提示及 Google Chrome 的权限请求界面,通过看似正常的对话框诱导用户自行输入系统或浏览器凭证。
一旦用户上当,相关信息便会被自动收集、打包,并在后台悄然发送至攻击者控制的渠道。
借助主流云服务规避监测
为降低被安全设备发现的风险,攻击者并未使用可疑的命令控制服务器,而是选择将通信流量伪装成正常业务数据,与 Dropbox 等广泛使用的云存储服务进行交互。分析报告指出,这种做法体现出与国家级威胁行为体相符的高水平操作安全意识,使数据传输能够轻易绕过防火墙及基于域名的检测机制。
具备高级分析环境规避能力
DriverFixer0428 还集成了多层反分析机制,可识别自身是否运行在虚拟机或安全研究环境中,例如常见的沙箱系统或苹果虚拟化平台。一旦检测到异常环境,该恶意软件不会执行任何实质性行为,而是进入空闲循环状态,既不报错也不崩溃,从而误导分析人员误判其为无害样本。
明确的溯源特征与归因结论
在二进制文件内部,研究人员提取到多个具有指向性的字符串,其中包括内部标识名 “DriverFixer0428”。后缀数字很可能代表该样本的构建日期为 4 月 28 日。综合其针对 macOS 开发者的攻击目标、精密的社会工程策略以及复杂的防分析手段,研究人员认为该恶意软件与此前的“传染性面试”行动在技术与战术层面高度一致。
最终,报告给出的结论是:该样本以高度可信的证据被归因于朝鲜背景的“传染性面试”网络间谍行动。
网站资讯
渠道合作
解决方案
更多服务
