IT之家 1 月 25 日消息,卡巴斯基安全实验室近日发布博文,发现了一种针对苹果 macOS 设备的新型恶意软件家族,并提醒苹果 Mac 用户谨慎下载破解软件。
报告称这种新型恶意软件家族高度复杂,主要伪装成为各种知名 macOS 软件的破解版分发,用户下载恶意 PKG 文件之后,会诱导用户输入管理员密码,从而获取设备管理权限。
该恶意软件家族在获得用户许可之后,使用一种名为“AuthorizationExecuteWithPrivileges”的技术,运行相关可执行文件。
然后,它会验证是否存在 Python 3,并在需要时进行安装。这就造成了典型的应用程序打补丁过程的假象。
随后,恶意软件以 "apple-health [.] org" 为幌子与控制服务器联系,检索能够执行任意命令的 base64 编码 Python 脚本。
研究人员注意到,攻击者使用了一种创新方法来生成联系 URL。他们将两个硬编码列表中的单词与随机字母序列连接起来,每次都会生成一个独特的子域。
卡巴斯基专家指出,向 DNS 服务器发出的请求看似正常,但实际上是为了检索包含恶意有效载荷的 TXT 记录。
DNS 服务器的响应包括三个 TXT 记录片段,每个片段都以 base64 编码,并使用 AES 对信息进行加密,这些片段累积起来就形成了 Python 脚本。
该恶意软件家族可以建立后门,收集用户操作系统版本、应用程序、CPU 类型和外部 IP 地址等数据。此外该恶意软件还会修改系统文件,以确保恶意脚本即使在系统重启后也能保持激活状态。
此外,恶意软件还会扫描比特币核心和 Exodus 钱包,将发现的钱包替换为篡改版本,从而向攻击者泄露重要信息。
IT之家附上卡巴斯基报告原文地址,感兴趣的用户可以深入阅读。
科技,互联网,互联网安全
