新型社交工程攻击威胁 macOS 安全
一场针对 macOS 用户的新型网络攻击活动正构成严重威胁,该攻击完全不依赖软件漏洞实施破坏。攻击者通过精心设计的社交工程手段,诱骗受害者主动交出密码与敏感数据,整个攻击过程看起来与正常操作无异。
这场攻击伪装成常规软件更新,实则是精心布置的陷阱。当受害者察觉异常时,往往为时已晚。经微软分析师确认,该活动始于 2026 年初,攻击者首次采用了针对 macOS 的新型攻击技术。
朝鲜背景的黑客组织 Sapphire Sleet
此次攻击由朝鲜国家支持的黑客组织 Sapphire Sleet(至少自 2020 年 3 月起活跃)发起。该组织专门针对加密货币、风险投资和区块链相关行业的从业人员,核心目标是窃取全球高价值个人与组织的数字资产和金融信息。
攻击完全通过社交工程实施:黑客首先在社交媒体或专业平台上冒充招聘人员接触目标,经过交流后诱导受害者下载伪装成 Zoom SDK 更新的文件。该文件通过 macOS 原生脚本编辑器执行,在后台悄无声息地加载恶意代码,受害者仅能看到看似正常的软件安装界面。
伪造系统更新窃取凭证
恶意脚本运行后,会在受害者设备上静默部署名为 systemupdate.app 的虚假应用。该应用会显示与 macOS 原生密码对话框完全一致的界面,提示用户输入密码以“完成软件更新”。大多数用户会不假思索地输入密码。
密码输入后,恶意软件会立即验证其有效性,并通过 Telegram 消息服务将凭证发送给攻击者。随后,另一个名为 softwareupdate.app 的虚假应用会显示“更新完成”的提示框消除受害者疑虑。与此同时,恶意软件开始窃取加密货币钱包文件、浏览器保存的密码、Telegram 会话数据、SSH 密钥、Apple Notes 和浏览历史记录。
持久化后门与数据外泄
除窃取凭证外,Sapphire Sleet 还部署了多个后门维持长期访问。其中 com.apple.cli 组件作为主机监控工具持续与攻击者服务器通信;更高级的 icloudz 后门直接将代码加载到内存中,几乎不在磁盘留下痕迹,极大增加了安全工具的检测难度。
恶意软件会安装启动守护进程,确保系统每次重启后自动恢复后门。所有窃取的数据经压缩后通过 8443 端口上传至攻击者控制的服务器,而凭证则通过 Telegram Bot API 单独发送。2026 年 6 月,微软发现该组织开始使用 Microsoft Teams 主题的诱饵文件,采用新的载荷名称继续实施相同攻击链。
防御建议与妥协指标
微软建议用户切勿未经 IT 团队确认就运行通过聊天消息分享的脚本或终端命令。企业应阻止从互联网下载已编译的 AppleScript 文件,并监控 macOS TCC 数据库的未授权变更。管理加密货币资产的用户应使用硬件钱包并定期更换浏览器保存的凭证。
攻击指标 (IoCs):
注:IP 地址和域名已进行安全处理(如使用 [.]),防止意外解析或超链接。仅在 MISP、VirusTotal 或 SIEM 等威胁情报平台中恢复原始格式。
参考来源:
Hackers Use Fake Software Update Prompts to Steal Passwords and Crypto Wallet Data From macOS Users | 
发表于 6 小时前
|
查看: 5|
回复: 0
