在中国发现了一种通过“有毒”搜索引擎结果传播的新型Mac恶意软件,并可能传播到其他国家。
为了确保你没有被这类事情感染,请非常小心你下载的内容,并用其中一个最好的Mac杀毒程序。你也应该尽可能多地从Mac应用商店获取软件,并且要小心其他来源。
Mac security研究员详细说明帕特里克·沃德尔在本周早些时候的一篇博客文章中,中国研究人员支(又名ChiChou)在推特上发布了这款恶意软件,他称之为ZuRu@编解码器.早在今年6月,志明就帮助解开了其中的原因某些Wi-Fi网络名称正在禁用iPhone.
这一次,志在宣传一名中国用户的博客文章他发现在中文搜索引擎百度上查询Mac应用iTerm2会返回一个合法的iTerm2网站的克隆。(iTerm2是默认Mac终端应用程序的免费替代品。)
搜索引擎的赞助链接传播假冒的iTerm2恶意软件https://t.co/8yUrE2kog6 pic.twitter.com/WPU8YSURgZ2021年9月15日
从假冒的iTerm2网站下载安装程序的Mac用户会收到一份该应用程序的工作拷贝,它通过了Gatekeeper的检查,安装得很好,因为它是由苹果开发者进行数字“签名”的,没有被任何杀毒软件标记为恶意的。
这款假应用并没有得到苹果额外的安全徽章的“公证”。(真正的iTerm2应用程序经过了公证。)但是,即使Mac会通知用户某个应用程序没有经过公证,用户仍然可以选择安装它。
在这个假的iTerm2应用程序中有一个额外的东西——一个“下载器”,它自己连接到一个在线服务器,并安装了至少两种恶意软件。
间谍软件和可能的后门
这两个新恶意软件中的一个是信息窃取软件,它可以分析运行它的Mac电脑,窃取用户的钥匙链数据库(包含密码和其他敏感数据),并将所有数据打包在一个Zip文件中,然后将其发送回下载信息窃取软件的同一服务器。
另一个恶意软件伪装成谷歌更新应用程序,从另一个服务器下载。沃德尔无法完全分析这个恶意软件,所以他不太确定它是做什么的。
但他发现,它所在的服务器被标记为拥有Cobalt Strike的盗版。Cobalt Strike是一种合法的渗透测试工具,犯罪分子破解了它,并将其用于非法手段。
正如Wardle所指出的,这个神秘的伪造Google更新可能实际上是Cobalt Strike“灯塔”,一个在系统上创建隐藏后门供其他Cobalt Strike用户查找的程序。
有一点好消息。苹果已经吊销了用于签署假冒的iTerm2安装程序的开发者证书,假冒的iTerm2网站现在处于离线状态,百度已经从其搜索引擎中删除了有毒结果,大约十几个最好的Mac防病毒程序现在将假冒的安装程序识别为恶意软件。
但这背后的犯罪分子不需要花多少时间,就可以将他们的方法复制到另一个网站、另一个被破坏的Mac应用程序和另一个Mac开发者许可证上,这只需要99美元。
- 阅读更多:我们所知道的Mac Mini 2021
