專精蘋果裝置管理的資安業者Jamf指出,他們在10月下旬,在上傳到惡意程式分析平臺VirusTotal的檔案裡,發現北韓駭客企圖利用跨平臺應用程式框架Flutter做為散布macOS惡意軟體的管道,由於採用這款框架打造的應用程式會導致其程式碼變得更加複雜,而有可能讓攻擊者藉此逃過各式資安防護機制的偵測。
研究人員發現這些惡意程式檔案存在攻擊意圖,但所有防毒引擎皆將其視為無害,而且,這些惡意軟體還帶有簽章,並通過蘋果的公證程序。對於駭客的意圖,他們表示目前仍不得而知,無法確定是否已被用於實際攻擊行動,或是攻擊者正在打造、測試新的惡意程式。
他們找到的惡意程式大致可分成3種類型,分別是使用Go語言開發的檔案、透過Py2App建立的Python惡意程式,以及使用Flutter開發的應用程式。其中,又以使用Flutter開發的手法引起研究人員的興趣,並指出想要這種方法打造的應用程式進行逆向工程,過程相當複雜。
上述消息提到的Flutter,其實是Google開發的應用程式框架,目的是簡化跨平臺應用程式的開發,開發人員能藉此讓多個平臺的應用程式維持一致。
但研究人員認為,運用該框架建立的應用程式會產生獨特的結構,導致程式碼難以解讀,細部原因在於:其程式碼執行的邏輯,是透過使用程式庫Dylib當中包含的程式語言Dart進行處理,再使用Flutter引擎載入。
舉例來說,其中一款名為New Updates in Crypto Exchange (2024-08-28).app惡意程式,被發現作者在Flutter嵌入以Dart編寫的有效酬載,並將其偽裝成功能完整的踩地雷遊戲。經過Jamf的分析,此App2的遊戲部分來自GitHub的開源專案,原本是專門為了在iOS作業系統執行而開發,攻擊者將裡面的軟體程式碼稍加修改並重新編譯,使其能在macOS運作。
一旦使用者啟動該惡意程式,電腦就會向遠端伺服器發送請求,然後從攻擊者的伺服器下載AppleScript程式碼,並在向後寫入之後,才會執行惡意程式。而根據駭客使用的遠端伺服器網域,研究人員推測很有可能是北韓駭客所為。
這批惡意程式為何會出現在VirusTotal?攻擊者可能正在測試更為強大的武器,研究人員也觀察到該團體擅長社交工程攻擊,但設置的檔案名稱與應用程式顯示的內容不一致,研判其上傳檔案很有可能只是為了確認是否能過關,他們或許想藉此知道當檔案經過正常程序簽章,並將惡意程式碼埋入Dylib程式碼的情況下,能否通過Apple公證伺服器的審核,甚至是避免資安業者察覺異狀。
雖然無從得知攻擊者是正在進行測試,還是已經準備投入攻擊活動,但研究人員指出,這是他們首度看到有人利用Flutter掩人耳目,並且企圖以此對macOS用戶發動攻擊的情形。
熱門新聞
2024-11-29
2024-12-19
2024-11-20
2024-11-15
2024-11-15
