病毒概述

克日，，，，，3377体育网官网入口谛听实验室监测到一款名叫GoldPickaxe的 “人脸挟制”犯法软件，，，，，它可以窃取用户的面部识别等生物特征数据、阻挡短信以及署理装备流量。。。。。。。。GoldPickaxe木马病毒支持iOS和Android版本，，，，，是现在发明的首个iOS木马病毒。。。。。。。。差别于古板的窃取资金方法，，，，，GoldPickaxe木马病毒并不直接从受害者手机中偷取资金，，，，，而是通过网络受害者信息来建设深度伪造视频，，，，，并自动会见受害者的银行应用程序，，，，，允许黑客未经授权会见受害者银行账户。。。。。。。。

现在GoldPickaxe活跃在越南和泰国，，，，，不过幕后攻击者已经最先扩大运动规模，，，，，3377体育网官网入口会一连监控该团伙动态并起劲做好清静防御事情。。。。。。。。

病毒剖析

GoldFactory开发的这套重大木马GoldPickaxe自2023年中期以来一直活跃，，，，，其受害者漫衍在越南和泰国，，，，，现在已发明的所有木马均处于活跃的进化阶段。。。。。。。。

GoldPickaxe有Android版本和iOS版本，，，，，其中Android版本会使用Virbox加壳保；；；；；；；ぃ，，，，具备较为完善的恶意功效。。。。。。。。由于iOS平台的关闭性和权限检查相对严酷，，，，，iOS版本已解压且没有规避手艺，，，，，但功效相比Android版本较少。。。。。。。。

GoldFactory的诈骗流程大致如下：

一、通过短信、电话、邮件等多种方法诱骗用户会见虚伪登录页面

二、受害者下载并装置GoldPickaxe伪装的虚伪“数字养老金”应用程序

三、受害者被GoldPickaxe指导输入私密信息，，，，，并提醒受害者录制视频作为确认质料

四、受害者录制的视频被通过换脸人工智能服务建设成深度伪造视频

五、黑客未经授权会见银行账户并窃取资金

GoldPickaxe.iOS木马将自己伪装成泰国政府服务应用程序并通过滥用MDM妄想举行撒播。。。。。。。。MDM是一种周全的集中式解决计划，，，，，用于治理和保；；；；；；；ぷ橹诘囊贫氨福ɡ缰悄苁只寰舶宓缒裕！。。。。。。MDM的主要目的是简化装备治理使命、增强清静性、确保遵守组织战略并安排应用程序。。。。。。。。

黑客通过社会工程诱骗用户下载MDM设置文件。。。。。。。。一旦装置此设置文件，，，，，黑客就会获得对装备的控制权限，，，，，例如远程擦除、装备跟踪和应用程序治理。。。。。。。。黑客使用这些功效来装置GoldPickaxe恶意应用程序并获取他们所需的信息。。。。。。。。

GoldPickaxe 接纳与下令和控制 (C2) 服务器的双重通讯要领，，，，，使用Websocket吸收下令，，，，，使用HTTP发送执行效果。。。。。。。。在Android装备中Websocket通常使用端口8282，，，，，而iOS装备中通常使用端口8383。。。。。。。。吸收到下令后，，，，，恶意软件将执行的效果通过 HTTP 传输到各自的 API 端点，，，，，所有下令均接纳JSON名堂。。。。。。。。通过Websocket从C2吸收的下令未加密，，，，，但发送到 HTTP API端点的效果使用rsa举行加密。。。。。。。。最终GoldPickaxe会将受熏染装备的数据泄露到阿里云中存储。。。。。。。。

GoldPickaxe.Android使用的HTTP API详细如下：

GoldPickaxe的另一个功效是它建设一个SOCKS5署理服务器和快速反向署理 (FRP)。。。。。。。。GoldPickaxe启动后，，，，，GoldPickaxe.iOS会使用JetFire库毗连到Websocket 。。。。。。。。该库用于实现可以在后台无壅闭通讯的Websocket客户端。。。。。。。。若是毗连乐成，，，，，它将在当田主机 ( 127.0.0.1:1081 ) 上启动SOCKS5服务器，，，，，同时启动反向署理以启用毗连。。。。。。。。

在最先之前，，，，，GoldPickaxe会发出HTTP请求以获取署理服务器设置。。。。。。。。服务器设置存储在手机Documents文件夹中的newconfig.ini文件，，，，，之后受熏染的手时机收到包括受诓骗控制的服务器地点的设置。。。。。。。。它使用以下模板，，，，，该模板可在IPA文件中找到。。。。。。。。

黑客使用GitHub上提供的轻量级项目——MicroSocks来实现署理功效。。。。。。。。

程序引用了WuOtto/OttoKeyboardView开源清静键盘模拟银行APP。。。。。。。。

为了集成用Go编写的FRP库，，，，，GoldPickaxe使用Golang 移动绑定？？？？？？？？橐允视糜贏ndroid和iOS，，，，，这有助于获取网络地点转换 (NAT) 或防火墙后面的外地服务器信息。。。。。。。。之后所有流量都会通过同时启动的电话署理服务器举行重定向。。。。。。。。

GoldPickaxe.Android对受害者的控制下令列表如下：

该团伙会要求用户照相来窃取身份证照片、从受害者相册中检索照片并捕获面部识别数据，，，，，之后接纳人工智能换脸手艺使用窃取到的生物识别数据，，，，，以获得受害者的银行应用程序授权。。。。。。。？？？？？？？？⒅霸笔褂肎oogle的ML Kit举行人脸检测，，，，，当发出“面部”下令时，，，，，将举行面部扫描，，，，，录制面部视频时，，，，，会给出一些眨眼、微笑、向左、向右、向下颔首、向上和张嘴等指令。。。。。。。。这种要领通常用于建设周全的面部生物特征档案，，，，，这些视频和图片会被上传到云端存储点。。。。。。。。

人脸识别的实现程序FaceViewController中挪用google faceDetector工具集举行人脸识别，，，，，并对获取的人脸视频以H264视频名堂上传到C2服务器。。。。。。。。

在IDcardViewController中实现获取身份证正背面信息，，，，，并生涯为图片上传。。。。。。。。

综上所述，，，，，黑客使用GoldPickaxe木马从受害者装备中提取资金的计划归纳综合如下：

GoldFactory的手机银行木马仍在一直生长。。。。。。。。例如，，，，，Android恶意软件包括未实现的处置惩罚程序或未使用的功效。。。。。。。。在此提醒宽大用户切勿容易相信生疏链接和应用程序，，，，，以防受骗受骗。。。。。。。。

防护建议

不要点击可疑链接。。。。。。。。阻止通过电子邮件、短信和社交媒体帖子中的恶意链接熏染移动恶意软件。。。。。。。。

通过官方平台下载应用程序。。。。。。。。禁止易运行不明程序和压缩文件、不在非正规平台下载软件。。。。。。。。

装置新应用程序时请仔细检查所请求的权限，，，，，并在应用程序请求辅助功效服务时坚持高度小心。。。。。。。。

不要在常用的谈天软件中随意添加生疏人。。。。。。。。

若是存疑，，，，，请直接致电银行，，，，，而不是点击手机屏幕上的银行警报窗口。。。。。。。。

附录

样本IOCs列表：

3377体育网官网入口产品防御设置

? 3377体育网官网入口EDR系统防御设置

1、通过微隔离战略增强会见控制，，，，，降低横向熏染危害；；；；；；；；

2、开启文件实时监控功效，，，，，可有用预防和查杀该勒索病毒;

3、开启系统加固功效，，，，，可有用阻挡该勒索病毒对系统要害位置举行破损和改动。。。。。。。。

? 3377体育网官网入口僵尸网络木马和蠕虫监测与处置惩罚系统设置

1、升级最新威胁情报库，，，，，开启威胁情报恶意文件检测和捕获功效，，，，，实时检测和捕获网络中传输的GoldPickaxe新型人脸信息窃取病毒；；；；；；；；

2、开启威胁情报日志纪录和报警功效；；；；；；；；

3、可设置旁路阻断或者3377体育网官网入口防火墙联动，，，，，阻挡GoldPickaxe新型人脸信息窃取病毒的网络撒播。。。。。。。。

3377体育网官网入口产品获取方法

3377体育网官网入口EDR单机版下载地点：

http://edr.topsec.com.cn

3377体育网官网入口僵尸网络木马和蠕虫监测与处置惩罚系统威胁情报库下载地点:

ftp://ftp.topsec.com.cn