一次性密碼(OTP)系統被用來產生只能登入和連上特定網路服務一次的密碼。這樣的滾動式密碼系統通常由第三方代管,減少駭客使用入侵的帳號來進入系統的風險。
趨勢科技在四月發現一個看似普通 OTP 身份驗證工具的應用程式樣本 TinkaOTP。經過進一步調查發現,此應用程式與 2019年12月現身的Windows和 Linux後門程式 Dacls遠端存取木馬(RAT)非常相似。此木馬的C&C伺服器和儲存樣本連線時所用的字串可以和駭客集團Lazarus之前的部署關聯在一起。
跟駭客集團 Lazarus 的關聯
執行 TinkaOTP應用程式後,此樣本看起來是安裝並執行的DMG安裝套件。啟動該應用程式最初並沒有發現任何可疑行為,但它會將隱藏檔案~/Library/.mina植入Library資料夾,並將LaunchDaemon /Library/LaunchDaemons/com.aex-loop.agent.plist設定在開機時執行該隱藏檔案。
繼續閱讀