MacOS中的网络犯罪活动持续增长,越来越多的恶意软件开发者将矛头转向macOS。Trend Micro研究人员发现一个与Lazarus组织有关的mac后门,使用启用宏的Excel来攻击韩国用户。
与Lazarus的相似之处
研究人员分析了Twitter用户cyberwar_15发现的恶意样本,奇热发现恶意样本使用了含有嵌入宏的Excel文档,这与Lazarus组织之前的攻击非常相像。
图1. 显示心理测试的excel表单,点击图片左上方会根据用户选择的答案显示不同的内容
与之前的攻击活动不同,文件中的宏会运行一个连接到3个C2服务器的PowerShell脚本:
图2. 宏文件连接到C2地址hxxps[:]//crabbedly[.]club/board[.]php, hxxps[:]//craypot[.]live/board[.]php, and hxxps[:]//indagator[.]club/board[.]php.