對(duì)于計(jì)算機(jī)用戶來(lái)說(shuō)���,Apple公司的產(chǎn)品一直要比Windows產(chǎn)品更加安全一些。但隨著Apple的市場(chǎng)份額不斷增加���,用戶基數(shù)不斷增長(zhǎng)���,針對(duì)macOS的惡意軟件威脅也變得越來(lái)越普遍和復(fù)雜�。而且�����,有許多macOS威脅采用的感染途徑仍然不為人知��,研究人員只能通過(guò)一些偶然的機(jī)會(huì)發(fā)現(xiàn)惡意軟件���,或者在VirusTotal等惡意軟件存儲(chǔ)庫(kù)中發(fā)現(xiàn)樣本。
為了幫助企業(yè)組織更安全地應(yīng)用macOS系統(tǒng)��,本文收集整理了安全研究人員重點(diǎn)關(guān)注的6種典型macOS環(huán)境下惡意軟件威脅�����。
01BlueNoroffRustBucket
(相關(guān)資料圖)
從2022年12月開(kāi)始����,BlueNoroff 威脅團(tuán)伙(隸屬更廣泛的Lazarus勒索軟件組織)開(kāi)始使用一種名為RustBucket的macOS版惡意軟件,攻擊全球各地的目標(biāo)組織�。該惡意軟件的出現(xiàn),標(biāo)志著這個(gè)臭名昭著的惡意團(tuán)伙正式開(kāi)始涉足macOS領(lǐng)域�,也表明攻擊者開(kāi)始更多地使用Go語(yǔ)言之類軟件開(kāi)發(fā)平臺(tái)研發(fā)惡意軟件。
Jamf 威脅實(shí)驗(yàn)室的安全分析師首先觀察到BlueNoroff RustBucket惡意軟件在受害者系統(tǒng)上投放和執(zhí)行各種攻擊載荷����,并于今年4月首次公開(kāi)披露了該惡意軟件的攻擊模式���,其中第一階段組件多為被植入后門但運(yùn)行完全正常的PDF閱讀器,該組件可以連接到遠(yuǎn)程指揮和控制(C2)服務(wù)器�����,并安裝另外的第二階段攻擊載荷����,以便從受害者系統(tǒng)收集特定信息將發(fā)回給攻擊者。BlueNoroff RustBucket惡意軟件的危害性不僅僅在于軟件本身�,還在于其攻擊中采用了大量的社會(huì)工程伎倆。而且�����,這種惡意軟件威脅還同時(shí)針對(duì)Windows用戶�����。
02macOS版LockBit
LockBit勒索軟件組織于2019年首次被發(fā)現(xiàn)���,由于其不斷采用新的策略�����、技術(shù)和支付方式�����,經(jīng)不斷發(fā)展和演變��,現(xiàn)已被行業(yè)認(rèn)為是當(dāng)前“最危險(xiǎn)的惡意軟件威脅之一”���。研究人員發(fā)現(xiàn),LockBit團(tuán)伙在去年11月開(kāi)始攻擊macOS用戶�,且能在受害者的macOS環(huán)境中造成與Windows 環(huán)境中同樣嚴(yán)重的破壞。網(wǎng)絡(luò)安全公司SentinelOne的研究人員表示���,盡管目前還沒(méi)發(fā)現(xiàn)macOS版LockBit在廣泛肆虐的新聞報(bào)道��,但很可能是Linux版LockBit的直接衍生體�,其在macOS系統(tǒng)上加密和破壞數(shù)據(jù)的能力已經(jīng)被實(shí)際驗(yàn)證��,而該惡意軟件的開(kāi)發(fā)者還會(huì)不斷嘗試為其增加更多的破壞功能和選項(xiàng)���。
03XCSSET惡意軟件
與當(dāng)前大多數(shù)的macOS惡意軟件相比�,XCSSET惡意軟件的歷史比較久遠(yuǎn),并且仍然是目前對(duì)Mac用戶最危險(xiǎn)的威脅之一�����。該惡意軟件的一個(gè)顯著特點(diǎn)是它利用了三個(gè)獨(dú)立的零日漏洞�����,一個(gè)漏洞在未經(jīng)用戶明確許可的情況下啟用全面訪問(wèn)磁盤����,第二個(gè)漏洞在未經(jīng)用戶明確許可的情況下啟用屏幕錄制權(quán)限,第三個(gè)漏洞可以轉(zhuǎn)儲(chǔ)受保護(hù)的Safari瀏覽器cookie�����,并執(zhí)行其他惡意瀏覽技術(shù)��。
該惡意軟件的另一個(gè)獨(dú)特之處在于���,它可以通過(guò)共享的Xcode項(xiàng)目來(lái)傳播�。如果這些Xcode項(xiàng)目中的某個(gè)項(xiàng)目被開(kāi)發(fā)者下載并構(gòu)建���,開(kāi)發(fā)者系統(tǒng)上的其他項(xiàng)目隨后也會(huì)被感染�,從而導(dǎo)致類似蠕蟲(chóng)病毒地活動(dòng)。2022年8月�,SentinelOne報(bào)告又發(fā)現(xiàn)了一個(gè)新的XCSSET變種,該變種通過(guò)虛假的Mail應(yīng)用程序和虛假的Notes應(yīng)用程序來(lái)傳播��,而不是像最初那樣通過(guò)Xcode項(xiàng)目來(lái)傳播���。
04Atomic macOS Stealer(AMOS)
Atomic macOS Stealer(AMOS)又叫Atomic Stealer���,是所有Mac用戶需要高度重視的惡意軟件威脅��,主要針對(duì)macOS系統(tǒng)進(jìn)行敏感信息和數(shù)據(jù)的竊取���。
AMOS在功能上與其他針對(duì)macOS的信息竊取器沒(méi)有太大區(qū)別����。但是它已變成一種線上服務(wù)化的工具����,網(wǎng)絡(luò)犯罪分子可以經(jīng)由犯罪論壇和專用的Telegram頻道獲得MaaS模式的AMOS服務(wù)。該惡意軟件能夠竊取密碼會(huì)話cookie��、瀏覽器數(shù)據(jù)、自動(dòng)填充信息以及Electrum���、Binance和Exodus等加密貨幣錢包�。盡管Pureland和Macstealer等其他信息竊取器也可以提供類似功能��,但AMOS擁有最完整的攻擊工具包����,可以向各類網(wǎng)絡(luò)犯罪分子提供功能完備的針對(duì)macOS系統(tǒng)的信息竊取服務(wù)。
05MacStealer惡意軟件
MacStealer惡意軟件可以從macOS系統(tǒng)上運(yùn)行的Firefox����、Bravo和Google Chrome等瀏覽器中竊取憑據(jù)、cookie�、信用卡資料及其他敏感數(shù)據(jù)。Uptycs的安全研究人員在今年早些時(shí)候首次發(fā)現(xiàn)了該威脅�����,可以影響自Catalina開(kāi)始的所有macOS版本�����。據(jù)研究人員介紹��,MacStealer能夠從感染后的系統(tǒng)中提取眾多文件,包括“.txt”“.doc”“.pdf”“.xls”“.ppt”和“.zip”���。需要特別提醒的是�����,由于該惡意軟件的開(kāi)發(fā)者通過(guò)惡意軟件即服務(wù)(MaaS)模式來(lái)分發(fā)軟件�,并且不斷接到各種非法團(tuán)伙提出的定制化生產(chǎn)訂單���。因此���,該惡意軟件的傳播范圍與危害性仍然會(huì)進(jìn)一步蔓延。
063CX供應(yīng)鏈攻擊
今年3月���,安全研究人員發(fā)現(xiàn)一種新型macOS版惡意軟件,會(huì)隨著視頻會(huì)議軟件開(kāi)發(fā)商3CX的流行應(yīng)用軟件更新版本一同分發(fā)�����,并且給受害用戶造成巨大的損失和危害�����。據(jù)了解,隸屬Lazarus高級(jí)持續(xù)性威脅(APT)組織的一個(gè)攻擊小組非法進(jìn)入了3CX的軟件構(gòu)建環(huán)境����,并將這種惡意軟件引入到了macOS版3CX Electron桌面應(yīng)用程序的安裝程序中,由于使用了由Sectigo頒發(fā)和DigiCert加蓋時(shí)間戳的合法3CX Ltd證書(shū)��,該惡意軟件在安裝時(shí)具有較大的欺騙性�����,很難被使用者識(shí)別�。
受影響的安裝包內(nèi)包含了兩個(gè)惡意DLL文件:ffmpeg.dll和d3dcompiler_47.dll。ffmpeg.dll會(huì)在用戶安裝時(shí)被加載���,并從d3dcompiler_47.DLL中進(jìn)一步加載和執(zhí)行payload進(jìn)行系統(tǒng)信息收集���。攻擊者可利用惡意文件從Chrome、Edge���、Brave和Firefox用戶配置文件中竊取用戶數(shù)據(jù)和敏感憑據(jù)等����,導(dǎo)致用戶敏感信息泄露�����。
參考鏈接:https://www.darkreading.com/endpoint/top-macos-malware-threats-proliferate
