CheckPoint表示恶意软件是用有效的Apple开发者证书签名的

2022-04-03 08:59:16
导读 分析公司Check Point周四发布了一篇令人震惊的博文,内容是一种新的恶意macOS特洛伊木马,它似乎可以绕过苹果的保护措施,在用户不知情

分析公司Check Point周四发布了一篇令人震惊的博文,内容是一种新的恶意macOS特洛伊木马,它似乎可以绕过苹果的保护措施,在用户不知情的情况下劫持和嗅探进出Mac的所有流量。这将包括SSL/TLS加密连接,因为恶意软件会安装一个本地数字证书,该证书会覆盖正常的中间人警告和保护。

这种恶意软件被Check Point称为OSX/多克,通过网络钓鱼攻击传播,Check Point表示,这种攻击主要针对欧洲用户。显示的消息是德语的,签名部分说它来自瑞士税务局。这封邮件包含一个ZIP文件附件,必须保存,打开,然后其中一个项目开始。从描述中不清楚用户是否必须输入管理密码,但根据步骤,似乎是可能的。恶意软件在执行时会执行各种恶意行为,比如复制自身和运行shell命令,安装启动项在每次重启时启动。

Check Point表明恶意软件是用有效的Apple开发者证书签名的,这种情况以前也发生过。恶意方可能劫持合法开发者的帐户,或者注册并使用(并销毁)证书。有了检验证书,macOS Gatekeeper会将应用程序识别为合法应用程序,并且不会阻止其执行。

苹果确认没有绕过Gatekeeper。此开发人员证书已被吊销,这将阻止它在将来没有警告的情况下启动。苹果公司证实,它已经更新了其静默恶意软件签名系统XProtect,以防止它。没有迹象表明有多少用户可能被感染,因为Check Point的研究团队在野外遇到了它。

像几乎所有的macOS恶意软件一样,OSX/杜克需要一个天真的用户,他接受表面价值的钓鱼邮件,并愿意提取和启动他们没有想到和不熟悉的文件。这方面的主要例外是两个版本的torrent软件传输的颠覆,其中合法的副本被黑客攻击的副本所取代。那些也是特洛伊木马,但它们来自人们故意下载并安装的软件。

使用BlockBlock和XFence(最初的小Flocker安装,即使你已经足够信任采取步骤启动恶意软件),它将始终无法写入文件或在启动时将自己标记为启动。(这两个软件包都是免费的,还在测试阶段。)

Mac用户需要保持警惕,不要启动任何意外或来自未知方或自称是税务、执法或其他机构的文件。即使文件看起来来自已知的来源,如果它不是预期的内容,并且是个人或团体通常发送的格式,它也可能是鱼叉式网络钓鱼企图,其中使用虚假的返回地址来诱使人们安装特洛伊木马。

免责声明:本文由用户上传,如有侵权请联系删除!