【安全资讯】朝鲜黑客利用新型macOS恶意软件发起加密货币窃取攻击

概要：

网络安全威胁持续演变，朝鲜背景的黑客组织正采用愈发复杂的攻击手段，将目标锁定在利润丰厚的加密货币领域。近期，Google Mandiant的研究人员披露了一起针对金融科技公司的攻击事件，攻击者结合了AI生成的深度伪造视频和ClickFix技术，向macOS和Windows用户投递了多达七种不同的恶意软件家族，旨在窃取加密货币并收集用于未来社会工程攻击的数据。

主要内容：

此次攻击始于精心策划的社会工程。攻击者通过被入侵的加密货币公司高管Telegram账户联系受害者，建立信任后，发送一个指向伪造Zoom会议页面的Calendly链接。在“会议”中，攻击者播放了另一家加密货币公司CEO的深度伪造视频，并假借音频故障为由，诱导受害者在攻击者控制的网页上执行恶意命令，从而启动感染链。

感染成功后，攻击者在受害者主机上部署了七种不同的macOS恶意软件。其中包括WAVESHAPER后门、HYPERCALL下载器、HIDDENCALL后门、SILENCELIFT后门、DEEPBREATH数据窃取器、SUGARLOADER下载器和CHROMEPUSH浏览器数据窃取器。其中，DEEPBREATH通过修改macOS的TCC数据库绕过系统隐私保护，广泛窃取文件、密钥链、浏览器及通讯应用数据。

研究人员指出，SILENCELIFT、DEEPBREATH和CHROMEPUSH是该威胁组织（被追踪为UNC1069）的新工具集。在单一个体主机上部署如此大量的恶意软件实属罕见，这表明攻击具有高度针对性，旨在为两个核心目的尽可能多地收集数据：直接窃取加密货币资产，以及利用受害者身份和数据为未来的社会工程攻击提供燃料。

自2018年以来，UNC1069不断进化其技术和工具。其目标从Web3行业转向金融服务和加密货币的支付、经纪及钱包基础设施等领域。此次攻击中AI深度伪造与多重恶意软件的组合，标志着针对高价值加密货币目标的攻击正变得愈加隐秘和复杂。