macOS潛在威脅曝光!盜版軟體藏有惡意木馬 可遠端控制你的電腦
編譯/夏洛特
Jamf 威脅實驗室的研究人員最近在 macOS 發現潛在安全威脅,涉及名為 .fseventsd 的可疑執行檔。雖然它模擬了macOS 中追蹤文件變更的操作系統內建程式,但這個文件並非可執行的程式,而是一個「原生程式碼」。 基於該文件並未由蘋果簽署,因此需要進一步調查。
來自中國盜版網站
據外媒報導,進一步分析顯示,這個特殊的 .fseventsd 二進制檔案是在中國盜版網站上發現的,存在於macOS中的磁盤映像檔檔案(DMG)的一部分。 這些DMG 檔案包含流行應用程式(如 FinalShell、Microsoft 遠端桌面用戶端、Navicat Premium、SecureCRT 和 UltraEdit)的修改程式碼。 這些修改後的應用程式可作為惡意軟體的載體。
更多新聞:隱私全沒了!Facebook 和 Instagram從數千家企業收集用戶資料
傷害電腦的過程
一旦用戶打開這些受感染的應用程式之一,隱藏的特洛伊木馬程式就會在背景啟動。 此植入程式與攻擊者控制的基礎設施建立通訊並啟動三種惡意活動。 首先,它會載入一個惡意 dylib動態庫文件,該檔案的工作方式類似於特洛伊木馬,並在每次打開應用程式時運行。之後,它使用名為 Khepri 的工具下載一個開源的後門文件,用於控制和利用系統。 最後,它會下載另一個工具,該工具會一直存在並不斷下載更多有害的內容。
遠端控制
Khepri 工具使攻擊者能夠收集有關受害者系統的資訊、傳輸檔案並允許使用者從一個位置遠端控制另一台電腦的命令介面。 研究人員認為,基於目標應用程式、修改後的載入命令和攻擊者基礎設施的相似性,該惡意軟體與 2021 年發現的 ZuRu 惡意軟體類似。
持續存在的感染
值得注意的是,Khepri 的後門隱藏在臨時檔案中,將在 Mac 重新啟動或關閉時自行刪除,但當使用者再次開啟受感染的應用程式時,惡意 dylib 會重新載入。 這凸顯了該威脅的隱蔽性,並能夠持續存在於受害者的電腦上。
如何保護自己
雖然 Jamf 認為這次攻擊主要針對中國的受害者,但重要的是要記住盜版軟體的固有危險。 不幸的是,許多安裝盜版應用程式的人都會跳過 macOS Gatekeeper 的任何安全警告提示,快速按下「安裝」按鈕。Jamf建議,要安裝信譽良好的防毒和反惡意軟體軟體,雖然這種特殊的惡意軟體仍可能會未被發現而潛入,但在 Mac 上建立額外的防禦層仍是一個很好的做法。
瀏覽 708 次
