工作没找到,钱和数据也没了:窃密木马伪装成在线面试,同时进攻macOS与Windows用户

Hot news | Doctor Web公司新闻 | 病毒新闻

Doctor Web公司的专家警示广大用户,木马程序JobStealer正在传播,其恶意功能是窃取macOS和Windows 操作系统电脑用户的敏感信息,主要目标是窃取加密币钱包中的数据。诈骗分子以在线面试为幌子,诱骗潜在受害者访问恶意网站,并诱导其安装所谓的视频会议应用程序,实际上这个视频会议应用就是木马JobStealer。

攻击一开始通常是骗子与潜在受害者取得联系,谎称有职位可以应聘。随后,骗子会邀请受害者参加面试,并提供所谓"在线会议平台"网站的链接,称用于接入视频会议。这些网站看起来很正规,但实际上完全是欺诈网站的。用户从这些网站上下载的所谓在线会议软件实际上是恶意程序JobStealer。网络犯罪分子会使用不同的网页设计,并频繁更改该恶意软件的名称。我司专家已发现的变种名称就包括:MeetLab、Juseo、Meetix、Carolla 等。在某些情况下,犯罪分子还会使用真实服务的名称,例如 Webex。

#drweb #drweb 

下载JobStealer的所谓视频连线服务网站示例

为了让用户相信这些是正常运转的平台,诈骗分子还开通了相应的Telegram 频道和社交媒体账号(例如 X)。

#drweb #drweb 

恶意攻击者会在社交网络上制造假象,借此迷惑用户相信木马是正常软件

恶意网站给在macOS设备用户被提供两种选项:

  • 复制网站上指定的 bash 命令并在终端中执行;
  • 下载 DMG 格式的磁盘映像文件.dmg并运行。
#drweb 

木马JobStealer过恶意网站传播,诱骗访问者下载DMG 容器形式,或在终端执行 bash 命令

用户选择第一种情况在终端中执行命令时,系统会自动从互联网下载并运行一个脚本,该脚本进而下载并启动 JobStealer 的可执行文件(我们将其侦测为 Mac.PWS.JobStealer.1)。

第二种情况下载的 DMG 映像文件本身已包含上述文件。用户挂载该映像后,会看到应用程序的“安装”说明。说明中要求用户打开终端,并将附带的一个脚本拖入终端窗口。然而,该脚本实际上不会安装视频会议软件,而是会启动木马文件。

#drweb 

木马JobStealer映像文件打开时显示的安装说明

Mac.PWS.JobStealer.1 是一个 Fat Mach-O 格式的可执行文件容器,包含适用x64 和 arm64 两种处理器架构的二进制代码。木马在被感染的计算机上启动时,程序会根据目标平台自动调用与 CPU 架构相对应的组件。

需要说明的是,Mac.PWS.JobStealer.1 存在多个不同版本。较早的恶意版本不支持 arm64 架构的Mac电脑上运行,同时也不具备代码混淆功能,木马编写者是在后续更新窃取程序的过程中,才开始添加并逐步增强混淆能力。

Mac.PWS.JobStealer.1 启动后会显示一个钓鱼窗口,提示用户程序在运行中出现错误。“修复”错误需要用户输入其账户密码。

#drweb 

请求输入Mac用户账户密码的钓鱼窗口

随后,Mac.PWS.JobStealer.1 会收集以下数据:

  • 操作系统版本和计算机标识符;
  • 约 300 个Chromium浏览器(Chrome、Opera、Brave、OperaGX、Vivaldi、Edge、Arc、CocCoc)安装的加密币钱包浏览器插件的数据;
  • 这些浏览器的 Cookie文件;
  • 保存在浏览器自动填充表中的密码及银行卡数据;
  • Telegram 通讯软件目录 /Library/Application Support/Telegram Desktop/tdata/Documents/temp_data/Apps/Telegram的文件,其中包含会话授权密钥、已下载文件等;
  • macOS 原生“备忘录”应用中的用户笔记;
  • 系统中是否安装了Ledger Live和Trezor Suite等加密币钱包应用。

这些数据被打包成ZIP压缩包并上传至C2服务器。

木马编写者还位 Windows操作系统准备了相应版本的 JobStealer 木马,其功能与 macOS 版本类似。此外,在部分传播这种窃取程序的恶意网站,还提供适用其他主流操作系统的应用版本。不过截至目前,我公司病毒分析师尚未发现这些版本的实际传播。例如,用于Linux系统的下载按钮要么不可用,要么指向的是木马的 Windows 版本。而针对 iOS 和 Android 设备的下载分区中显示正在开发这些版本。不能排除未来恶意攻击者会传播针对上述平台的木马变种的可能性。

#drweb 

恶意网站有可能会传播针对Linux、iOS及Android系统的 JobStealer 木马变种

有恶意应用 JobStealer所已知变种,我公司产品Dr.Web Security Space 的 macOS 和 Windows 版本均可进行可靠侦测和清除,因此不能对我公司产品用户构成威胁。传播该木马的欺诈网站也已列入不建议及危险资源库,同样会被Dr.Web 拦截。

MITRE ATT&CK®

我们依据 MITRE ATT&CK® 框架对 JobStealer 恶意程序进行了分析。该框架是一个描述网络犯罪分子攻击信息系统所使用的战术与技术的矩阵。分析结果包括以下关键技术:

阶段技术
执行

用户执行(T1204)

恶意复制与粘贴(T1204.004)

恶意文件(T1204.002)
发现 发现文件和目录 (T1083)
数据收集

自动收集(T1119)

本地系统的数据(T1005)

密码存储库的账户信息(T1555)

钥匙串(T1555.001)

来自浏览器的账户信息(T1555.003)

捕获键盘输入(T1056)

捕获图形界面输入(T1056.002)

对收集数据进行归档(T1560)
指挥与控制 Web服务(T1102)
数据外发

针对外发 (T1020)

通过控制通道外发(T1041)

通过Web服务外发 (T1567)

Mac.PWS.JobStealer.1更多详情

失陷指标

0
最新新闻 全部新闻