新型蘋果 macOS 惡意軟件家族被曝光：通過破解軟件分發(fā)，可竊取敏感信息

IT之家 1 月 25 日消息，卡巴斯基安全實驗室近日發(fā)布博文，發(fā)現(xiàn)了一種針對蘋果 macOS 設(shè)備的新型惡意軟件家族，并提醒蘋果 Mac 用戶謹(jǐn)慎下載破解軟件。

報告稱這種新型惡意軟件家族高度復(fù)雜，主要偽裝成為各種知名 macOS 軟件的破解版分發(fā)，用戶下載惡意 PKG 文件之后，會誘導(dǎo)用戶輸入管理員密碼，從而獲取設(shè)備管理權(quán)限。

該惡意軟件家族在獲得用戶許可之后，使用一種名為“AuthorizationExecuteWithPrivileges”的技術(shù)，運(yùn)行相關(guān)可執(zhí)行文件。

然后，它會驗證是否存在 Python 3，并在需要時進(jìn)行安裝。這就造成了典型的應(yīng)用程序打補(bǔ)丁過程的假象。

隨后，惡意軟件以 "apple-health [.] org" 為幌子與控制服務(wù)器聯(lián)系，檢索能夠執(zhí)行任意命令的 base64 編碼 Python 腳本。

研究人員注意到，攻擊者使用了一種創(chuàng)新方法來生成聯(lián)系 URL。他們將兩個硬編碼列表中的單詞與隨機(jī)字母序列連接起來，每次都會生成一個獨(dú)特的子域。

卡巴斯基專家指出，向 DNS 服務(wù)器發(fā)出的請求看似正常，但實際上是為了檢索包含惡意有效載荷的 TXT 記錄。

DNS 服務(wù)器的響應(yīng)包括三個 TXT 記錄片段，每個片段都以 base64 編碼，并使用 AES 對信息進(jìn)行加密，這些片段累積起來就形成了 Python 腳本。

該惡意軟件家族可以建立后門，收集用戶操作系統(tǒng)版本、應(yīng)用程序、CPU 類型和外部 IP 地址等數(shù)據(jù)。此外該惡意軟件還會修改系統(tǒng)文件，以確保惡意腳本即使在系統(tǒng)重啟后也能保持激活狀態(tài)。

此外，惡意軟件還會掃描比特幣核心和 Exodus 錢包，將發(fā)現(xiàn)的錢包替換為篡改版本，從而向攻擊者泄露重要信息。

IT之家附上卡巴斯基報告原文地址，感興趣的用戶可以深入閱讀。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。