在中国发现了一种新的Mac恶意软件,这种恶意软件通过“有毒”的搜索引擎结果传播,可能会传播到其他国家。
为了确保你没有被这种东西感染,要非常小心你下载的东西,并扫描每一个下载的文件最好的Mac杀毒项目。你还应该尽可能多地从Mac App Store获取软件,并警惕其他来源。
详细信息由Mac安全研究员提供帕特里克·瓦尔德在本周早些时候的一篇博客文章中,中国研究人员支(又名ChiChou)在推特上发布了这款恶意软件,他称之为ZuRu@CodeColorist.早在今年6月,志明就帮助解开了其中的原因某些Wi-Fi网络名称使iphone无法使用.
这一次,志明在宣传一个一名中国用户的博客文章他发现在中文搜索引擎百度上查询Mac应用iTerm2会返回一个合法的iTerm2网站的克隆。(iTerm2是默认Mac终端应用程序的免费替代品。)
搜索引擎的赞助链接传播假冒的iTerm2恶意软件https://t.co/8yUrE2kog6 pic.twitter.com/WPU8YSURgZ2021年9月15日
从假冒的iTerm2网站下载安装程序的Mac用户会收到一份该应用程序的工作拷贝,它通过了Gatekeeper的检查,安装得很好,因为它是由苹果开发者进行数字“签名”的,没有被任何杀毒软件标记为恶意的。
这款假应用并没有得到苹果额外的安全徽章的“公证”。(真正的iTerm2应用程序经过了公证。)但是,即使Mac会通知用户某个应用程序没有经过公证,用户仍然可以选择安装它。
在这个假的iTerm2应用程序中有一个额外的东西——一个“下载器”,它自己连接到一个在线服务器,并安装了至少两种恶意软件。
间谍软件和可能的后门
的两条新的恶意软件是一个概要的information-stealer Mac上运行,窃取用户的密钥链数据库(包含密码和其他敏感数据),和包一个Zip文件中的所有数据,然后再把它寄回的同一台服务器information-stealer下载。
另一个恶意软件伪装成谷歌更新应用程序,从另一个服务器下载。沃德尔无法完全分析这个恶意软件,所以他不太确定它是做什么的。
但他发现,它所在的服务器被标记为拥有Cobalt Strike的盗版。Cobalt Strike是一种合法的渗透测试工具,犯罪分子破解了它,并将其用于非法手段。
沃尔德指出,这个神秘的伪造谷歌更新可能实际上是Cobalt Strike的“信标”,这是一个程序,在系统上创建一个隐藏的后门,供其他Cobalt Strike用户查找。
有一点好消息。苹果已经撤销了用于签名假iTerm2安装程序的开发者证书,假iTerm2网站现在已经离线,百度已经从其搜索引擎中删除了有毒的搜索结果,大约12个最好的Mac杀毒程序现在已经识别出假安装程序为恶意软件。
但这背后的犯罪分子不需要花多少时间,就可以将他们的方法复制到另一个网站、另一个被破坏的Mac应用程序和另一个Mac开发者许可证上,这只需要99美元。
- 阅读更多:我们所知道的Mac Mini 2021