IT之家 1 月 25 日消息,卡巴斯基安全實驗室近日發(fā)布博文,發(fā)現(xiàn)了一種針對蘋果 macOS 設(shè)備的新型惡意軟件家族,并提醒蘋果 Mac 用戶謹慎下載破解軟件。
報告稱這種新型惡意軟件家族高度復(fù)雜,主要偽裝成為各種知名 macOS 軟件的破解版分發(fā),用戶下載惡意 PKG 文件之后,會誘導(dǎo)用戶輸入管理員密碼,從而獲取設(shè)備管理權(quán)限。
該惡意軟件家族在獲得用戶許可之后,使用一種名為“AuthorizationExecuteWithPrivileges”的技術(shù),運行相關(guān)可執(zhí)行文件。
然后,它會驗證是否存在 Python 3,并在需要時進行安裝。這就造成了典型的應(yīng)用程序打補丁過程的假象。
隨后,惡意軟件以 "apple-health [.] org" 為幌子與控制服務(wù)器聯(lián)系,檢索能夠執(zhí)行任意命令的 base64 編碼 Python 腳本。
研究人員注意到,攻擊者使用了一種創(chuàng)新方法來生成聯(lián)系 URL。他們將兩個硬編碼列表中的單詞與隨機字母序列連接起來,每次都會生成一個獨特的子域。
卡巴斯基專家指出,向 DNS 服務(wù)器發(fā)出的請求看似正常,但實際上是為了檢索包含惡意有效載荷的 TXT 記錄。
DNS 服務(wù)器的響應(yīng)包括三個 TXT 記錄片段,每個片段都以 base64 編碼,并使用 AES 對信息進行加密,這些片段累積起來就形成了 Python 腳本。
該惡意軟件家族可以建立后門,收集用戶操作系統(tǒng)版本、應(yīng)用程序、CPU 類型和外部 IP 地址等數(shù)據(jù)。此外該惡意軟件還會修改系統(tǒng)文件,以確保惡意腳本即使在系統(tǒng)重啟后也能保持激活狀態(tài)。
此外,惡意軟件還會掃描比特幣核心和 Exodus 錢包,將發(fā)現(xiàn)的錢包替換為篡改版本,從而向攻擊者泄露重要信息。
IT之家附上卡巴斯基報告原文地址,感興趣的用戶可以深入閱讀。
廣告聲明:文內(nèi)含有的對外跳轉(zhuǎn)鏈接(包括不限于超鏈接、二維碼、口令等形式),用于傳遞更多信息,節(jié)省甄選時間,結(jié)果僅供參考,IT之家所有文章均包含本聲明。