macOS面临新型恶意软件威胁:苹果生态系统安全警报

发表时间: 2023-12-04 23:25

近日,一款针对苹果生态系统的macOS恶意软件样本被发现,该样本继续了针对苹果生态系统的攻击趋势,但就目前而言,它对普通Mac用户而言并不是一个主要威胁。

恶意软件制作者认为macOS是一个比以往任何时候都更大的目标,并已加大力度尝试渗透苹果操作系统。然而,并非所有尝试都被视为对普通用户的威胁。

Objective-See公司的Patrick Wardle在对新发现的“Turtle”勒索软件进行分析时发现,该恶意软件样本具备勒索软件的所有组成部分。然而,它处于一种只会对那些决心要感染的人造成伤害的状态。

根据对样本中发现的压缩文件进行的初步分析,该恶意软件已为许多流行平台和架构进行了编译,包括Windows、Linux和macOS。macOS的.pkg文件不是包,而是针对Intel和Apple Silicon Macs的Mach-O可执行文件。

经过检查发现,该恶意软件最初是为Windows开发,随后移植到macOS。其中的“Windows”一词意味着在VirusTotal安全供应商在仅两天后的病毒检测中标记率高达24/62,对于macOS恶意软件来说这是不寻常的成就。

在尝试提取嵌入的字符串时,情况非常顺利,因为似乎没有试图对其进行混淆。所发现的字符串用于启动一个相当简单的勒索软件设置。

实际上,由于该恶意软件使用Go编写的加密库进行AES加密,因此通过设置一个断点即可轻松捕获密钥。在内存中也发现了相同的硬编码密钥。

Wardle表示:“由于AES是对称的,并且这里的密钥是硬编码的,因此我们编写一个解密器是轻而易举的事。”并成功创建了解密器并进行了测试。

报告指出:“就目前而言,大多数Mac用户不太可能受到这款macOS样本的影响。”由于Gatekeeper介入,用户需要忽视安全步骤、忽视安全措施或使用某种攻击方法才能开始加密文件。

尽管如此,苹果已采取措施,“相对积极主动地减轻macOS上的勒索软件攻击”,通过实施SIP和只读系统卷来保护核心操作系统文件。用户文件的TCC保护也是为了限制ransomware的影响。

尽管大多数Mac用户无需过于担心Turtle勒索软件的存在,但它的存在提醒人们要引起警惕,并帮助开展对话,讨论如何检测和防止此类样本和攻击在macOS上发生。

例如,关注Gatekeeper和其他macOS安全提示,在运行应用程序或打开文件时进行下载软件时只从信誉良好或已知安全的在线来源下载。此外,不要盲目打开来自未知来源的电子邮件中发送的文件也是一个明智的做法。

总的来说,明智的在线行为通常会保护大多数人免受ransomware或其他类型的威胁。

Post by Jack