對于計算機用戶來說�����,Apple公司的產(chǎn)品一直要比Windows產(chǎn)品更加安全一些�����。但隨著Apple的市場份額不斷增加�,用戶基數(shù)不斷增長,針對macOS的惡意軟件威脅也變得越來越普遍和復(fù)雜。而且�,有許多macOS威脅采用的感染途徑仍然不為人知,研究人員只能通過一些偶然的機會發(fā)現(xiàn)惡意軟件��,或者在VirusTotal等惡意軟件存儲庫中發(fā)現(xiàn)樣本�。
為了幫助企業(yè)組織更安全地應(yīng)用macOS系統(tǒng),本文收集整理了安全研究人員重點關(guān)注的6種典型macOS環(huán)境下惡意軟件威脅����。
01BlueNoroffRustBucket
(相關(guān)資料圖)
從2022年12月開始,BlueNoroff 威脅團伙(隸屬更廣泛的Lazarus勒索軟件組織)開始使用一種名為RustBucket的macOS版惡意軟件�����,攻擊全球各地的目標(biāo)組織����。該惡意軟件的出現(xiàn),標(biāo)志著這個臭名昭著的惡意團伙正式開始涉足macOS領(lǐng)域�,也表明攻擊者開始更多地使用Go語言之類軟件開發(fā)平臺研發(fā)惡意軟件。
Jamf 威脅實驗室的安全分析師首先觀察到BlueNoroff RustBucket惡意軟件在受害者系統(tǒng)上投放和執(zhí)行各種攻擊載荷�����,并于今年4月首次公開披露了該惡意軟件的攻擊模式�����,其中第一階段組件多為被植入后門但運行完全正常的PDF閱讀器,該組件可以連接到遠(yuǎn)程指揮和控制(C2)服務(wù)器�����,并安裝另外的第二階段攻擊載荷���,以便從受害者系統(tǒng)收集特定信息將發(fā)回給攻擊者��。BlueNoroff RustBucket惡意軟件的危害性不僅僅在于軟件本身�����,還在于其攻擊中采用了大量的社會工程伎倆��。而且����,這種惡意軟件威脅還同時針對Windows用戶���。
02macOS版LockBit
LockBit勒索軟件組織于2019年首次被發(fā)現(xiàn),由于其不斷采用新的策略��、技術(shù)和支付方式,經(jīng)不斷發(fā)展和演變�,現(xiàn)已被行業(yè)認(rèn)為是當(dāng)前“最危險的惡意軟件威脅之一”。研究人員發(fā)現(xiàn)���,LockBit團伙在去年11月開始攻擊macOS用戶�,且能在受害者的macOS環(huán)境中造成與Windows 環(huán)境中同樣嚴(yán)重的破壞���。網(wǎng)絡(luò)安全公司SentinelOne的研究人員表示�,盡管目前還沒發(fā)現(xiàn)macOS版LockBit在廣泛肆虐的新聞報道��,但很可能是Linux版LockBit的直接衍生體�����,其在macOS系統(tǒng)上加密和破壞數(shù)據(jù)的能力已經(jīng)被實際驗證��,而該惡意軟件的開發(fā)者還會不斷嘗試為其增加更多的破壞功能和選項�����。
03XCSSET惡意軟件
與當(dāng)前大多數(shù)的macOS惡意軟件相比����,XCSSET惡意軟件的歷史比較久遠(yuǎn)���,并且仍然是目前對Mac用戶最危險的威脅之一。該惡意軟件的一個顯著特點是它利用了三個獨立的零日漏洞�����,一個漏洞在未經(jīng)用戶明確許可的情況下啟用全面訪問磁盤����,第二個漏洞在未經(jīng)用戶明確許可的情況下啟用屏幕錄制權(quán)限,第三個漏洞可以轉(zhuǎn)儲受保護(hù)的Safari瀏覽器cookie����,并執(zhí)行其他惡意瀏覽技術(shù)。
該惡意軟件的另一個獨特之處在于��,它可以通過共享的Xcode項目來傳播����。如果這些Xcode項目中的某個項目被開發(fā)者下載并構(gòu)建,開發(fā)者系統(tǒng)上的其他項目隨后也會被感染���,從而導(dǎo)致類似蠕蟲病毒地活動��。2022年8月�,SentinelOne報告又發(fā)現(xiàn)了一個新的XCSSET變種�,該變種通過虛假的Mail應(yīng)用程序和虛假的Notes應(yīng)用程序來傳播,而不是像最初那樣通過Xcode項目來傳播��。
04Atomic macOS Stealer(AMOS)
Atomic macOS Stealer(AMOS)又叫Atomic Stealer�,是所有Mac用戶需要高度重視的惡意軟件威脅,主要針對macOS系統(tǒng)進(jìn)行敏感信息和數(shù)據(jù)的竊取����。
AMOS在功能上與其他針對macOS的信息竊取器沒有太大區(qū)別。但是它已變成一種線上服務(wù)化的工具�,網(wǎng)絡(luò)犯罪分子可以經(jīng)由犯罪論壇和專用的Telegram頻道獲得MaaS模式的AMOS服務(wù)。該惡意軟件能夠竊取密碼會話cookie��、瀏覽器數(shù)據(jù)����、自動填充信息以及Electrum、Binance和Exodus等加密貨幣錢包�����。盡管Pureland和Macstealer等其他信息竊取器也可以提供類似功能����,但AMOS擁有最完整的攻擊工具包�����,可以向各類網(wǎng)絡(luò)犯罪分子提供功能完備的針對macOS系統(tǒng)的信息竊取服務(wù)����。
05MacStealer惡意軟件
MacStealer惡意軟件可以從macOS系統(tǒng)上運行的Firefox�、Bravo和Google Chrome等瀏覽器中竊取憑據(jù)、cookie����、信用卡資料及其他敏感數(shù)據(jù)。Uptycs的安全研究人員在今年早些時候首次發(fā)現(xiàn)了該威脅��,可以影響自Catalina開始的所有macOS版本�。據(jù)研究人員介紹,MacStealer能夠從感染后的系統(tǒng)中提取眾多文件�����,包括“.txt”“.doc”“.pdf”“.xls”“.ppt”和“.zip”��。需要特別提醒的是�����,由于該惡意軟件的開發(fā)者通過惡意軟件即服務(wù)(MaaS)模式來分發(fā)軟件,并且不斷接到各種非法團伙提出的定制化生產(chǎn)訂單��。因此�����,該惡意軟件的傳播范圍與危害性仍然會進(jìn)一步蔓延���。
063CX供應(yīng)鏈攻擊
今年3月,安全研究人員發(fā)現(xiàn)一種新型macOS版惡意軟件��,會隨著視頻會議軟件開發(fā)商3CX的流行應(yīng)用軟件更新版本一同分發(fā)��,并且給受害用戶造成巨大的損失和危害�����。據(jù)了解��,隸屬Lazarus高級持續(xù)性威脅(APT)組織的一個攻擊小組非法進(jìn)入了3CX的軟件構(gòu)建環(huán)境�,并將這種惡意軟件引入到了macOS版3CX Electron桌面應(yīng)用程序的安裝程序中,由于使用了由Sectigo頒發(fā)和DigiCert加蓋時間戳的合法3CX Ltd證書�,該惡意軟件在安裝時具有較大的欺騙性,很難被使用者識別。
受影響的安裝包內(nèi)包含了兩個惡意DLL文件:ffmpeg.dll和d3dcompiler_47.dll���。ffmpeg.dll會在用戶安裝時被加載����,并從d3dcompiler_47.DLL中進(jìn)一步加載和執(zhí)行payload進(jìn)行系統(tǒng)信息收集�。攻擊者可利用惡意文件從Chrome、Edge�����、Brave和Firefox用戶配置文件中竊取用戶數(shù)據(jù)和敏感憑據(jù)等�����,導(dǎo)致用戶敏感信息泄露���。
參考鏈接:https://www.darkreading.com/endpoint/top-macos-malware-threats-proliferate
