（2025年6月19日） 網(wǎng)絡(luò)安全研究人員發(fā)出緊急警告，針對(duì)蘋果Mac用戶的新型高級(jí)攻擊正在活躍。知名黑客組織BlueNoroff（又名Sapphire Sleet、TA444）被曝利用深度偽造（Deepfake）技術(shù)偽造公司高管視頻，在虛假的Zoom會(huì)議中誘騙員工下載并安裝定制化的惡意軟件。此攻擊手段新穎且極具迷惑性，專門瞄準(zhǔn)macOS設(shè)備，最終目的是竊取加密貨幣。

據(jù)科技媒體BleepingComputer報(bào)道（援引6月18日博文），該攻擊活動(dòng)由安全公司Huntress的研究人員于2025年6月11日首次發(fā)現(xiàn)。

精心設(shè)計(jì)的“高管”騙局：

1. 初始接觸： 攻擊者偽裝成外部專業(yè)人士（如潛在合作伙伴或顧問），通過Telegram等平臺(tái)向目標(biāo)公司員工發(fā)送虛假的會(huì)議日程鏈接，邀請(qǐng)其加入看似正常的Google Meet會(huì)議。
2. 域名欺詐： 受害者點(diǎn)擊鏈接后，實(shí)際會(huì)被重定向至黑客完全控制的偽造Zoom域名。
3. 深度偽造登場： 在虛假會(huì)議中，黑客利用深度偽造技術(shù)生成逼真的公司高管視頻影像。更狡猾的是，會(huì)議中還有偽裝成“外部參與者”的同伙出現(xiàn)，共同營造真實(shí)氛圍，極大增強(qiáng)欺騙性。
4. 制造問題，提供“解決方案”： 會(huì)議中，受害者會(huì)被故意制造“麥克風(fēng)故障”。此時(shí)，偽造的高管會(huì)“好心建議”受害者下載一個(gè)所謂的“Zoom擴(kuò)展程序”來修復(fù)問題。
5. 惡意下載： 提供的鏈接會(huì)引導(dǎo)受害者下載一個(gè)AppleScript文件 (zoom_sdk_support.scpt)。一旦執(zhí)行，該腳本會(huì)顯示一個(gè)偽裝成合法Zoom支持頁面的界面，同時(shí)在后臺(tái)觸發(fā)惡意命令，從黑客控制的偽造Zoom服務(wù)器下載后續(xù)的攻擊載荷。

植入的復(fù)雜惡意軟件套件：

Huntress分析發(fā)現(xiàn)，攻擊最終會(huì)在受害Mac上植入多達(dá)8種相互配合的惡意程序模塊，構(gòu)成一個(gè)功能強(qiáng)大的攻擊平臺(tái)，核心模塊包括：

• Telegram 2： 使用Nim語言編寫，偽裝成Telegram更新程序。它常駐系統(tǒng)，定期運(yùn)行，是攻擊者后續(xù)入侵的主要入口點(diǎn)。關(guān)鍵點(diǎn)： 它使用了合法的Apple開發(fā)者證書進(jìn)行簽名，以繞過安全檢測。
• Root Troy V4： 使用Go語言開發(fā)的強(qiáng)大遠(yuǎn)程控制后門。它是整個(gè)攻擊的“大腦”，支持遠(yuǎn)程代碼執(zhí)行、在設(shè)備休眠時(shí)緩存指令隊(duì)列、下載更多惡意載荷等。
• InjectWithDyld： 第二階段加載器。利用AES密鑰解密加密的惡意代碼，并利用macOS特有的API將代碼注入到其他合法進(jìn)程中執(zhí)行。同時(shí)具備清除日志的反取證能力。
• XScreen (keyboardd)： 監(jiān)控模塊。持續(xù)不斷地記錄受害者的鍵盤輸入、屏幕畫面以及剪貼板內(nèi)容，并實(shí)時(shí)發(fā)送給攻擊者的控制服務(wù)器。
• CryptoBot (airmond)： 專門針對(duì)加密貨幣的竊取器。支持超過20個(gè)加密貨幣平臺(tái)的錢包信息竊取，竊取的數(shù)據(jù)會(huì)先加密暫存，再伺機(jī)外傳。

對(duì)Mac用戶的嚴(yán)重警示：

Huntress研究人員強(qiáng)調(diào)，此攻擊標(biāo)志著針對(duì)macOS的威脅正在顯著升級(jí)。BlueNoroff組織展現(xiàn)了高度的專業(yè)性和資源投入，精心設(shè)計(jì)了整個(gè)社會(huì)工程學(xué)攻擊鏈和復(fù)雜的技術(shù)實(shí)現(xiàn)。

• 打破安全錯(cuò)覺： 盡管許多Mac用戶傳統(tǒng)上認(rèn)為自身系統(tǒng)更安全、受攻擊風(fēng)險(xiǎn)較低，但隨著macOS在企業(yè)環(huán)境中的廣泛應(yīng)用，它已成為高價(jià)值攻擊目標(biāo)。
• 針對(duì)性增強(qiáng)： 攻擊者正加速開發(fā)專門針對(duì)macOS系統(tǒng)特性和安全機(jī)制的復(fù)雜惡意軟件。
• 高度定制化： 此次攻擊中使用的惡意軟件套件是專門為繞過macOS防御和持久化而定制開發(fā)的。

防護(hù)建議：

• 高度警惕非預(yù)期會(huì)議邀請(qǐng)： 對(duì)來源不明（尤其是通過非官方渠道如Telegram、WhatsApp等發(fā)送）的會(huì)議鏈接保持極度警惕，務(wù)必通過官方郵件或其他可靠途徑核實(shí)。
• 仔細(xì)檢查會(huì)議鏈接域名： 在點(diǎn)擊任何會(huì)議鏈接前，務(wù)必仔細(xì)檢查域名是否完全正確，警惕任何細(xì)微的拼寫錯(cuò)誤或可疑域名（如示例中的 httpssupportus05webzoombiz 明顯異常）。
• 絕不下載非官方“修復(fù)程序”： 會(huì)議中任何人（即使是看似高管）要求下載軟件來解決“技術(shù)問題”，都應(yīng)視為極大危險(xiǎn)信號(hào)。軟件更新和修復(fù)應(yīng)僅通過官方應(yīng)用商店或供應(yīng)商官網(wǎng)獲取。
• 保持系統(tǒng)和軟件更新： 及時(shí)安裝macOS系統(tǒng)更新和安全補(bǔ)丁。
• 部署專業(yè)安全軟件： 在企業(yè)環(huán)境中，應(yīng)部署能檢測高級(jí)威脅的端點(diǎn)檢測與響應(yīng)解決方案。
• 安全意識(shí)培訓(xùn)： 企業(yè)應(yīng)加強(qiáng)對(duì)員工識(shí)別深度偽造、釣魚攻擊和社會(huì)工程學(xué)手法的培訓(xùn)。