GoldPickaxe 銀行木馬

一個名為 GoldFactory 的老練威脅行為者精通中文，已被確定為高級銀行木馬的創建者。他們的最新作品之一是一種名為 GoldPickaxe 的未記錄的 iOS 惡意軟體，它能夠收集身分證件和臉部辨識資料並攔截簡訊。

研究人員已證實 GoldPickaxe 系列同時針對 iOS 和 Android 平台。據信，GoldFactory 網路犯罪組織組織嚴密，並且會講中文，與Gigabud 關係密切。

GoldFactory 至少自 2023 年中期開始運營，負責開發基於 Android 的銀行惡意軟體GoldDigger及其增強變體 GoldDiggerPlus。此外，他們還創建了 GoldKefu，這是 GoldDiggerPlus 中的嵌入式木馬。

攻擊者利用各種網路釣魚技術部署 GoldPickaxe

已發現傳播惡意軟體的威脅性社會工程活動，主要集中在亞太地區，特別是泰國和越南。攻擊者將自己偽裝成當地銀行和政府實體。

在這些有針對性的攻擊中，個人會收到欺騙性的簡訊和網路釣魚訊息，促使他們將對話轉移到 LINE 等即時通訊應用程式。隨後，攻擊者發送詐欺性 URL，導致受害者的裝置上安裝 GoldPickaxe。

某些專為 Android 設計的不安全應用程式託管在假冒網站上，模仿 Google Play 商店頁面或假冒公司網站，以成功執行安裝過程。

GoldFactory 網路犯罪分子展示的新策略

GoldPickaxe 針對 iOS 的分發方式有所不同，採用了獨特的方法。它利用 Apple 的 TestFlight 平台並使用誘殺 URL。這些 URL 鼓勵用戶下載行動裝置管理 (MDM) 設定文件，從而授予對 iOS 裝置的完全控制權並促進惡意應用程式的安裝。泰國銀行業 CERT (TB-CERT) 和網路犯罪調查局 (CCIB) 於 2023 年 11 月揭露了這兩種分發策略。

GoldPickaxe 的複雜性進一步體現在它能夠規避泰國實施的安全措施。這些措施要求用戶使用臉部辨識來確認更重要的交易，以防止詐欺。 GoldPickaxe 巧妙地提示受害者錄製視頻，作為欺騙性應用程式中的確認方法。錄製的影片可作為透過換臉人工智慧服務製作深度換臉影片的原料。

此外，該惡意軟體的 Android 和 iOS 變體都能夠收集受害者的身份證件和照片、攔截傳入的 SMS 訊息並透過受感染的裝置路由流量。有人懷疑 GoldFactory 參與者使用自己的裝置登入銀行應用程式並執行未經授權的資金轉帳。

iOS 和 Android GoldPickaxe 版本之間的差異

與 Android 版本相比，iOS 版本的 GoldPickaxe 顯示的功能較少。這種差異歸因於iOS作業系統的封閉性及其相對嚴格的權限協定。

Android 變體被視為 GoldDiggerPlus 的進化繼承者，將自己偽裝成 20 多個與泰國政府、金融部門和公用事業公司相關的不同應用程式。其主要目標是從這些服務中竊取登入憑證。然而，威脅行為者掌握這些收集到的資訊的確切意圖仍不清楚。

該惡意軟體的另一個值得注意的特徵是它利用 Android 的輔助服務來記錄擊鍵並捕獲螢幕內容。