ZCyberNews
English
恶意软件8 分钟阅读

新型 Mac 恶意软件威胁绕过 Apple 安全防护

新一轮复杂的恶意软件活动正将目标对准 macOS,利用巧妙的社会工程学和新颖的技术手段来绕过 Apple 的安全措施。安全研究人员已识

新型 Mac 恶意软件威胁绕过 Apple 安全防护

一场新的复杂恶意软件攻击浪潮正瞄准 macOS,利用巧妙的社会工程学和新颖的技术手段来绕过 Apple 的安全措施。安全研究人员已识别出两个不同但主题相关的威胁——Atomic Stealer (AMOS) 和一种新的基于 Go 语言的信息窃取程序 notnullOSX——两者都采用了巧妙的"ClickFix"社会工程学诱饵。这些攻击活动代表了 Mac 威胁的重大演变,超越了简单的恶意应用程序,转而利用受信任的系统组件,并以外科手术般的精准度针对高价值受害者。

ClickFix 社会工程学伎俩

这两项攻击活动的核心是一种被研究人员命名为"ClickFix"的社会工程学策略。潜在受害者通过广告、搜索引擎结果或论坛帖子被吸引,这些内容承诺能解决常见的软件问题,例如应用程序"无法打开"。诱饵会引导用户下载一个磁盘映像文件(.DMG)。

一旦打开 DMG 文件,受害者会看到一个虚假的错误信息,声称应用程序已损坏,无法打开。该信息随后指示用户使用 Script Editor(一个合法的 Apple 应用程序)来运行一个提供的"修复"命令,而不是使用 Terminal。这是一个关键的心理技巧:通过避免使用用户通常认为有风险的 Terminal,转而使用一个不那么令人生畏的内置应用程序,攻击者降低了受害者的警惕性。该脚本在执行时,会静默地从远程服务器获取并安装恶意软件载荷。

并行的攻击路径与技术规避

虽然 ClickFix 诱饵是共同点,但这两项攻击活动展示了略有不同的技术执行方式和最终载荷,突显了 macOS 攻击者的适应性。

传播 Atomic Stealer 的攻击活动因其完全绕过 Terminal 而引人注目。通过使用 Script Editor 运行一个执行 bash 命令的 AppleScript (osascript),恶意软件链避免了触发与 Terminal 窗口相关的怀疑。该脚本会下载一个第二阶段载荷,这是一个未签名的 macOS 归档实用程序可执行文件。然后,该实用程序会解密并安装最终的 Atomic Stealer 二进制文件。这种多阶段过程有助于规避基于签名的基本检测。

与此同时,notnullOSX 攻击活动使用相同的 ClickFix 诱饵,但也采用了第二条更传统的攻击路径,即通过直接恶意的 DMG 文件。该恶意软件本身是用 Go 语言编写的,Go 是一种跨平台语言,因其易于编译和反分析的优势而日益受到恶意软件开发者的青睐。执行后,notnullOSX 会进行广泛的侦察,检查受感染机器的语言设置,以避免针对俄语或其他东欧语言的系统——这是一种常见的策略,旨在避免引起这些地区执法部门的注意。然后,它会系统地搜索并从五十多个浏览器配置文件、加密货币钱包(包括 Exodus、Atomic 和 Binance)以及钥匙串条目中窃取数据。

转向有针对性的金融盗窃

这些攻击活动的目标突显了针对 macOS 用户的、以经济利益为动机的有针对性攻击的趋势。Atomic Stealer 是一种已知的窃取工具,旨在窃取密码、Cookie、财务数据和文件。notnullOSX 攻击活动更进一步,明确针对加密货币持有者。有证据表明,攻击者在发起量身定制的攻击之前,会仔细搜索公共区块链数据,以识别余额超过 10,000 美元的钱包。该恶意软件对特定钱包的针对性及其对某些地理区域的回避,表明了一种专业的、类似商业的网络犯罪方法,专注于最大化财务回报,同时最小化操作风险。

这些攻击也标志着对 Apple 持续的平台安全增强措施(如 Gatekeeper 和 Notarization 要求)的直接回应。通过滥用 Script Editor 等合法的系统工具,并使用带有未签名可执行文件的多阶段载荷,攻击者正在寻找安全防护的裂缝。notnullOSX 使用 Go 语言也给安全工具带来了挑战,因为该语言生成的二进制文件更难进行静态分析。

关键要点

  • 社会工程学仍然是主要攻击向量。 "ClickFix"策略之所以非常有效,是因为它利用了用户解决常见问题的意愿,使用一个看似无害的内置应用程序(Script Editor)来执行恶意代码。
  • 攻击者正在创新以绕过 macOS 防御。 放弃基于 Terminal 的执行方式,转而使用托管在远程的多阶段载荷,这是对 Apple 安全模型以及用户关于 Terminal 危险性的教育的直接反制措施。
  • macOS 日益成为以经济利益为动机的攻击者的目标。 notnullOSX 的出现及其对高价值加密货币钱包的明确针对性表明,Mac 用户不再仅仅是广告软件的目标,而是严重、有针对性的金融盗窃的目标。
  • 对下载保持警惕至关重要。 用户应极度警惕从非官方来源下载"修复"工具,无论错误信息看起来多么真实。始终直接从官方供应商或 App Store 获取软件。
标签:#macOS#malware#infostealer#ClickFix

相关文章

CanisterWiper蠕虫通过配置不当的云存储攻击伊朗目标
恶意软件

CanisterWiper蠕虫通过配置不当的云存储攻击伊朗目标

一个犯罪团伙利用配置不当的云存储传播并销毁数据,向伊朗实体部署了具有自我传播能力的CanisterWiper恶意软件。

11 分钟阅读
Google DBSC 在 Chrome 146 中阻止会话劫持攻击
工具与技术

Google DBSC 在 Chrome 146 中阻止会话劫持攻击

Google 在 Chrome 146 中推出的设备绑定会话凭证(DBSC)通过加密方式将会话 Cookie 绑定到设备,从而阻止窃取 Cookie 的恶意软件劫持账户。

7 分钟阅读
APT28将简单的路由器入侵与复杂的恶意软件相结合
威胁情报

APT28将简单的路由器入侵与复杂的恶意软件相结合

在国家资助的网络间谍活动的隐秘世界中,一场新的行动模糊了复杂恶意软件与令人震惊的简单入侵之间的界限。被追踪为APT28(亦

10 分钟阅读