最近有報導指出,某些攻擊者利用 ChatGPT 騙取 Mac 用戶安裝 MacStealer,現在又發現另一種手法,試圖說服用戶安裝 MacSync Stealer 的版本。儘管 Apple 對惡意軟件安裝提供了保護,令 Mac 仍然相對難以成為攻擊者的目標,但 Mac 的惡意軟件數量卻在上升。安全研究人員發現的兩種新手法,凸顯了某些攻擊者的創新做法。
過去,Mac 的惡意軟件相對罕見有兩個主要原因。其一是 Mac 的市場佔有率較低,其二是 Apple 內建的保護措施,可以檢測並封鎖可疑應用程序。隨著 Mac 市場佔有率的增加,這個平台的吸引力也隨之上升,特別是 Apple 的用戶群體使得 Mac 用戶成為金融詐騙的誘人目標。
當用戶嘗試安裝新的 Mac 應用時,macOS 會檢查該應用是否經過 Apple 的認證,確認其由已知開發者簽名。如果沒有,系統會標示這一點,且 macOS 現在使得繞過這一保護措施並安裝應用的過程相對繁瑣。本月早些時候,有報導指出攻擊者利用 ChatGPT 和其他 AI 聊天機器人,誘騙 Mac 用戶在 Terminal 中粘貼命令行,從而安裝 Macware。
網絡安全公司 Jamf 最近發現了另一種手法,涉及一個 MacSync Stealer 安裝程序。Jamf 表示,這款惡意軟件是活躍的 MacSync Stealer 的變體。攻擊者利用一個已簽名和認證的 Swift 應用,該應用本身不包含任何惡意軟件。然而,該應用會從遠端伺服器檢索一個編碼腳本,並執行該腳本來安裝惡意軟件。
在檢查 Mach-O 二進制文件後確認,該文件同時具備簽名和認證,與開發者團隊 ID GNJLS3UYZ4 相關聯。經過驗證,該代碼目錄的哈希值也未在 Apple 的撤銷名單中出現。大多數與 MacSync Stealer 有關的有效載荷主要在內存中運行,幾乎不在磁碟上留下痕跡。該公司表示,攻擊者越來越多地使用這種手法。
這種分發方式的變化反映了 macOS 惡意軟件生態系統的一個更廣泛趨勢,攻擊者越來越多地試圖將他們的惡意軟件隱藏在已簽名和認證的可執行文件中,讓這些文件看起來更像合法應用。通過利用這些技術,對手降低了早期被檢測的可能性。Jamf 表示,已向 Apple 報告該開發者 ID,並且該公司已經撤銷了該證書。
在防範 Mac 惡意軟件方面,最有效的措施仍然是僅從 Mac App Store 或值得信賴的開發者網站安裝應用程序。
