Mac恶意软件的现状分析

luochicun 新闻 2018年3月12日发布

导语:对于Mac用户来说,他们会经常自我洗脑:Mac根本不需要什么所谓的杀毒软件,因为世上压根就没有Mac病毒。不过我要告诉你的是,这压根就是胡扯。

infectedapple-900x506.jpg

对于Mac用户来说,他们会经常自我洗脑:Mac根本不需要什么所谓的杀毒软件,因为世上压根就没有Mac病毒。不过我要告诉你的是,这压根就是胡扯。也许你会说Mac就是比windows安全,但我要告诉你的是世界上已知被广泛传播的第一个计算机病毒Elk Cloner,就是奇•斯克伦塔(Rich Skrenta)在一台苹果计算机上制造的,要知道当时是1982年计算机还没有硬盘驱动器。

针对 Mac 设备的恶意软件爆发现象不常见。但一旦出现,便会立即引起人们的关注。在2017年5月份爆发的勒索病毒WannaCry事件中,所有Mac用户都以为自己能够幸免。不过,MacOS的安全性神话并没有延续很久。因为紧接着6月份就两个针对MacOS的恶意软件服务——MacRansom勒索程序和MacSpy恶意软件服务(MaaS)。

其中,MacRansom是迄今为止首个针对MacOS的勒索病毒。另外, MacSpy属于远端存取木马,目前拥有免费和付费版两种形态,免费版可以实现屏幕截图、键盘记录、声音记录以及iCloud同步等功能,而且不会留下任何痕迹。付费版的功能更加强大,可以打开系统文档、加密系统目录已经用户的邮件及社交软件账户信息。值得一提的是,MacSpy开发团队表示,越来越多的人都因为觉得MacOS更安全而开始使用该系统,所以此次打造了这款恶意病毒来告诉大家,并没有任何一款操作系统是完美的。

Mac恶意软件在2018年的发展趋势

相比2017年,2018年的Mac恶意软件又发生了许多变化,越来越多的恶意软件开发者将攻击矛头指向所谓这个世界上最安全的Mac系统。截至目前,我已经看到四个新出现的Mac攻击软件。

OSX.MaMi

其中第一个出现的是OSX.MaMi,2018年的第二周,macOS就迎来一款DNS篡改恶意软件OSX/MaMi,在这之前还没有发现过有macOS系统的劫持DNS设置的恶意软件出现过。它可以通过Keychain Access应用来查看安装的证书,且在系统keychain中作为根CA。

这样,攻击者就可以通过将计算机的DNS查找重定向到恶意服务器,恶意软件背后的黑客就可以将流量导向合法网站,如银行网站,亚马逊和Apple的iCloud/Apple ID服务,最后再将其引导至恶意的仿冒网站。新增的证书可用于执行“中间人”攻击,且这些钓鱼网站似乎是合法的。

1.png

因此,这种恶意软件可能对使用钓鱼网站盗取凭据感兴趣,至于该恶意软件保存哪些不同的站点上以及该恶意软件的感染途径,研究人员目前还无法确定。

CrossRAT

紧接着OSX.MaMi,1月末一篇关于EFF/Lookout报告的详细文章揭示了一个名为Dark Caracal的高级持续威胁(APT)小组,参与了全球移动间谍活动,同时揭示了一种名为CrossRAT的新型跨平台恶意软件(版本0.1),据称是由黑暗的Caracal小组开发的。CrossRAT是一个跨平台的远程访问木马程序,它可以针对所有四种流行的桌面操作系统,Windows,Solaris,Linux和macOS,使远程攻击者能够操纵文件系统,截图,运行任意可执行文件。

据研究人员称,Dark Caracal黑客不依靠任何“0day攻击”来散布其恶意软件; 相反,它通过Facebook群组和WhatsApp消息上的帖子使用基本的社交工程,诱导用户访问黑客控制的虚假网站并下载恶意应用程序。CrossRAT是用Java编程语言编写的,使得反向工程师和研究人员很容易对其进行反编译。

虽然不是很完整,但这个恶意软件目前只是0.1版本,说明它很可能正处于早期的开发阶段。

尽管Mac已经很多年都不再预装java了,但有些攻击则是根据特定的攻击目标进行量身制作,比如有些被感染的特定目标都会处于一些原因去安装java或者这些目标已经被黑客通过特定途径安装了java,如感染目标人的U盘,然后通过该人的U盘进行大面积扩散和感染。

OSX.CreativeUpdate

紧接着就到了2月,OSX/CreativeUpdater木马又被发现,它借助热门的MacUpdate网站上被感染的应用来传播。OSX.CreativeUpdate最初是通过有关MacUpdate网站的供应链攻击发现的。 MacUpdate网站遭到黑客攻击,一些流行的Mac应用程序(包括Firefox)的下载链接被恶意链接所取代。

2.png

正如Panic公司在“被盗源代码案例”中记录的那样,这类供应链攻击是特别危险的,甚至能够感染开发和安全社区的安全管理者。

从MacUpdate下载受影响的应用程序的用户最终会看到类似的恶意应用程序。这些应用程序会在系统上安装恶意软件,然后打开用户想要的原始应用程序。由于该原始应用程序被捆绑在恶意应用程序中,所以很难被发现。

恶意软件一旦被安装,就会使用计算机的CPU来挖掘门罗币。这会导致电脑变慢,风扇开始高速运转。这会带来一些负面影响,例如电脑性能受到重大影响,电池寿命缩短,电力用量增加,甚至可能导致计算机过热并损坏硬件,特别是风扇不能在峰值容量下工作时或通风口被灰尘堵塞的情况下。

OSX.Coldroot

最新发现的恶意软件已被命名为OSX.Coldroot,它是一个通用的后门程序,提供了典型的后门程序对系统的所有常见访问。然而,在最新的系统,如macOS 10.11或更高版本中,OSX.Coldroot的安装都会失败。这个恶意软件的威胁似乎不是很大,但也一定要小心。

这些只是最近的一些例子, 从2016年至2017年,Mac恶意软件就增长了2.7倍多。光去年就出现了许多新的后门,例如现在臭名昭着的Fruitfly恶意软件。FruitFly是一款macOS和OS X恶意软件,具有很多隐秘且强大的监控能力。允许攻击者悄悄控制被感染的计算机,计算机设备一旦被感染,攻击者就可以使用该恶意软件查看屏幕中的显示内容、进行截屏、控制键盘、访问网络摄像头以及窃取受害者设备中的其他敏感数据。这包括他们的登录凭证、税务记录、照片、银行记录、互联网搜索记录以及私密的聊天记录等。

不过这并没有解决日益增长的广告软件和PUP威胁(可能有害的程序,通常是伪装成合法软件的软件)。这些类型的威胁在过去几年中大量存在着,甚至还威胁到了Mac App Store,其中某些类别的软件,如杀毒软件或反广告软件几乎完全是PUP并且不可信。

不幸的是,目前仍有许多Mac用户对macOS的安全性存在严重的误解。有些人仍然会告诉人们“Mac电脑不会感染病毒”,因为Mac被沙盒包装过,所以它们不会被感染。

3.png

在这种错误的思想下,普通Mac用户并没有有效的保护措施来防止他们所感染的恶意软件,更不用说广告软件和PUP带来的更为常见的威胁。

虽然苹果公司的macOS包含了一些内置的安全功能,但它们很容易被最新的恶意软件绕过,而且它们根本无法解决广告软件和PUP问题。 

本文翻译自:https://blog.malwarebytes.com/101/2018/03/the-state-of-mac-malware/ ,如若转载,请注明原文地址: http://www.4hou.com/info/news/10663.html
点赞 1
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论