瞄准Mac用户：新型Zoom会议深度伪造漏洞暗藏恶意软件危机

伪装成视频通话的威胁：Zoom漏洞可能成为恶意软件传播的新渠道

　　 6月19日消息，科技媒体bleepingcomputer于6月18日发表文章指出，黑客组织BlueNoroff（亦称SapphireSleet、TA444）利用伪造的公司高管Zoom视频会议，诱使员工下载并安装定制的恶意软件。

　　 该黑客组织专注于窃取加密货币，其攻击活动主要针对macOS设备。2025年6月11日，Huntress的研究人员发现了这一威胁。

　　 据相关报道，BlueNoroff利用深度伪造技术，对某科技公司的员工实施了定向钓鱼攻击。黑客假扮成外部专家，通过Telegram发送伪造的日程链接，诱使受害者点击并参与看似正规的Google Meet会议。

　　 实际链接被诱导跳转至黑客操控的虚假Zoom域名。会议期间，伪装的公司高管视频与“外部人士”一同出镜，提升骗局的真实性。

　　 会议中，受害者遭遇麦克风故障，伪造的高管“建议”下载“Zoom 扩展程序”修复问题。该链接引导受害者下载 AppleScript 文件（zoom_sdk_support.scpt），该文件执行后伪装成合法 Zoom 支持页面，触发恶意命令，从伪造的 Zoom 服务器（httpssupportus05webzoombiz）下载二次载荷。

　　 Huntress 发现，攻击共植入 8 种恶意程序，核心模块包括：

　　 Telegram 2：以 Nim 语言编写，伪装成 Telegram 更新程序，周期性运行并作为后续攻击入口。其使用合法开发者证书，规避检测。

　　 Root Troy V4：Go 语言开发的远程控制后门，支持远程代码执行、休眠状态指令队列及载荷下载，是攻击中枢。

　　 InjectWithDyld：第二阶段加载器，通过 AES 密钥解密并注入加密恶意代码，利用 macOS 特定 API 实现进程注入，并具备清除日志的反取证功能。

　　 XScreen（键盘监控）模块作为一款持续运行的工具，能够实时捕捉键盘输入、屏幕显示以及剪贴板信息，并将这些数据即时传输至指挥服务器。这种技术的应用无疑为远程管理与安全监控提供了便利，但也引发了对个人隐私保护的广泛讨论。在数字化时代，如何平衡技术发展与用户隐私权之间的关系，成为我们必须面对的重要课题。一方面，这类工具可以有效提升工作效率和安全性；另一方面，若缺乏严格的监管机制，也可能被滥用，导致用户的敏感信息遭到泄露或不当使用。因此，相关企业应当加强自律，确保技术应用合法合规，同时政府也需完善法律法规，明确界定数据采集和使用的边界，以维护公众利益和社会稳定。

　　 CryptoBot（airmond）是一款专门针对加密货币钱包信息的窃取工具，目前已支持超过20个主流平台。该恶意软件会将窃取到的数据进行加密缓存，并通过网络向外发送。这种行为不仅严重威胁用户的数字资产安全，也对整个加密货币生态系统的信任基础构成了潜在风险。在我看来，此类恶意软件的泛滥提醒我们，虽然区块链技术本身具有去中心化和安全性优势，但用户在享受便利的同时仍需提高警惕，加强自我保护意识。同时，相关监管部门和技术厂商也需要加快步伐，共同构建更安全的网络环境。

　　 尽管Mac用户常因系统的安全性和稳定性而感到安心，但实际上，随着Mac设备在企业环境中的使用率不断上升，针对这些设备的网络威胁也在迅速增加。黑客们正在积极研发专门针对Mac系统的攻击手段，这表明无论操作系统多么“安全”，只要其市场份额扩大，就可能成为网络犯罪分子的目标。 我认为，这种趋势提醒我们，无论是个人还是企业，都不能仅依赖操作系统的声誉来确保安全。技术防护措施需要与时俱进，定期更新软件、安装可靠的防病毒工具以及开展员工培训都是必不可少的步骤。同时，企业应当建立全面的安全策略，以应对多平台环境下的潜在威胁。毕竟，安全意识才是抵御网络攻击的第一道防线。