北韓駭客集團拉撒路(Lazarus Group)近期再度
濫用 ClickFix 社交工程手法,鎖定以 macOS 為主的企業與高價值主管,透過假視訊會議邀請引導受害者自行執行指令,進而下載新型 macOS 惡意程式並竊取機敏資料。
研究人員指出,攻擊者通常會先在 Telegram 上接觸目標,並可能冒用已遭入侵的同事或熟識對象帳號建立信任,接著發送偽造的 Zoom、Microsoft Teams 或 Google Meet 會議邀請,包裝成商務合作或工作機會。當目標加入會議後,畫面會顯示連線或音訊等「技術問題」,並要求受害者為了排除問題而輸入一段指令或下載檔案。由於這些動作是由使用者親手執行,許多傳統防護控管不易即時攔截。
在這波活動中,受害者依指示操作後,系統會下載一個看似正常的 macOS 應用程式檔案,常以 .bin(.bin)形式出現,並使用「teamsSDK.bin」等不顯眼名稱降低戒心。該程式會安裝第二階段載入元件,並以「更新完成」等訊息誤導使用者,讓感染流程更不易被察覺。
後續階段包含系統盤點工具,會連線至攻擊者的指揮控制(C2)基礎設施,並建立持久性機制,確保每次登入都會重新啟動惡意套件。最終會載入名為 macrasv2 的竊資程式 ,蒐集瀏覽器工作階段、已儲存的帳密與 Cookie、瀏覽器擴充資料,以及 macOS 鑰匙圈等系統祕密,整理至暫存目錄後,再透過 Telegram 進行外傳。完成外傳後,惡意程式會執行自我刪除腳本,試圖抹除痕跡。
研究也提到,儘管拉撒路過往以高技術含量攻擊聞名,但 macrasv2 本身程式品質並不理想,部分功能尚未完成或實作錯誤,甚至可能出現無限迴圈造成系統資源耗盡而暴露行蹤。此外,攻擊鏈還出現作業安全(OPSEC)疏失,例如暴露 Telegram 機器人 Token ,以及部分 C2 端點缺乏驗證等弱點。
由於 ClickFix 成功關鍵在於「讓使用者自己執行」,企業若要降低風險,應從教育訓練與端點控管同步著手,特別是高階主管與財務相關人員常成為這類精準社交工程的首要目標。
防護建議
- 強化主管與員工對 ClickFix 話術的辨識能力;遇到要求輸入指令或下載「修復檔案」的會議邀請時,務必改以其他管道向對方確認。
- 在端點側記錄並限制高風險指令與工具的使用(如 curl、wget、osascript、bash),並將可疑命令納入 EDR 規則與執行政策。
- 盤點並監控瀏覽器與系統祕密資料的存取行為,包含鑰匙圈存取事件與異常外連流量,以便及早發現竊資與外傳跡象。
本文轉載自 DarkReading。