Mac恶意软件现状

 

一、概要

经常有人告诉使用Mac的用户他们不需要防病毒软件,因为Mac没有病毒。然而这一点都不正确,因为Mac系列实际上也会受到恶意软件的影响,并且Mac系中的大部分也都受到过影响。即使是第一个知名的病毒Elk Cloner影响的也是苹果电脑而不是MS-DOS电脑。

 

二、近期Mac恶意软件总结

在2018年,Mac恶意软件的状态已经发生了改变。越来越多的黑客组织开始针对这些所谓的防渗透机器。我们已经注意到4个新兴起的针对Mac的恶意软件。其中第一个—OSX.MaMi,是在我们的论坛中发现的,是有人的DNS设置被篡改且无法恢复回来。
原因就是在他的系统上存在恶意软件改变了这些设置,并使其无法被恢复。此外,恶意软件还在keychain中为其添加了一个新的可信root证书。
这俩项行为非常危险,通过篡改DNS将解析地址重定向到恶意软件的服务器上,恶意软件背后的黑客完全可以把访问正常合法网站,像银行网站, Amazon以及 Apple’s iCloud/Apple ID services的流量导向恶意钓鱼网站。添加的新证书也可以用来执行“中间人”攻击,来让这些钓鱼网站看起来是正常、合法的。
所以,该恶意软件可能是对使用钓鱼网站偷取凭据感兴趣,但我们还不清楚他们所针对的是哪些网站。
第二个恶意软件是我们在研究 nation-state 恶意软件时发现的,叫做“Dark Caracal”。该报告中提到了一种新型的跨平台RAT(远程访问工具即后门),叫做“CrossRAT”。它能够感染Mac以及其他系统。它是用java编写的,为受感染的Mac系统提供了一些基本的后门功能。虽然不是很完整,但这个恶意软件目前只是0.1版本,说明它很可能正处于早期的开发阶段。
尽管Mac已经很多年都不再预装java了。但重要的是要记住nation-state恶意软件是根据特定的目标来使用的。这些被感染的特定目标都是有一些其他原因需要去安装java的。或者这些目标已经被黑客通过特定人,特定方法安装了java(例如感染某人U盘,通过其传播到某组织等方法)。
下一个恶意软件叫做“OSX.CreativeUpdate”。最初是通过涉及MacUpdate网站的供应链攻击发现的。MacUpdate网站遭到攻击,一些流行的Mac应用包括火狐等的下载链接被恶意链接所取代了。

这种供应链攻击是非常危险的,甚至会感染在开发或者安全社区的从业者。就像这次由Panic记录的源码被盗事件
从MacUpdate下载受感染的应用的用户最终会看到这样的应用程序。这些应用程序会在系统上安装恶意软件,然后打开原本应该下载的应用程序,这些程序被捆绑在恶意软件中,来让它看起来很正常。这有助于掩盖恶意软件暗地里做的恶意行为。
恶意软件一旦安装,就会利用计算机的CPU资源来挖掘门罗币。当然这会导致电脑运算速度变慢,风扇开始高速运转。这也会带来一系列负面影响,像电脑性能大幅降低,电池寿命缩短,电力用量增加,甚至可能导致计算机过热并损坏硬件(特别是风扇不能在峰值下工作或通风口被灰尘堵塞)。
最近期出现的Mac恶意软件叫做OSX.Coldroot。它是一个通用的后门程序,提供了典型后门程序所能提供的所有常用系统访问功能。然而,在任何现代系统(macOS 10.11,又名ElCapitan或更高版本)中,其某些部分的安装会失败。并且由于一些bug,它会在某些系统上完全失效。如此看来这个恶意软件似乎并不是很大的威胁,但在一些特定的系统上仍然存在危险。
这些都只是最近的一些例子。Mac恶意软件数量在2016年至2017年期间增长了270%以上。去年我们看到了许多新的后门出现,例如现在臭名昭着的Fruitfly恶意软件,最早由Malwarebytes发现并记录的,它是一个俄亥俄州人用来捕获个人数据,甚至是用来制作儿童色情作品的恶意软件。

 

三、总结

 

这些都无法表明日益增长的广告软件和PUP威胁(可能有害的程序,通常是伪装成合法软件的软件)所带来的危害。这些类型的威胁在过去几年中就已经普遍存在,甚至可以达到侵入Mac App Store的程度,AppStore中的某些类别的软件(如防病毒软件或防广告软件)几乎完全是不可信的PUP。
不幸的是,许多Mac用户仍然对macOS的安全性有严重的误解。有些人仍然会告诉人们“Mac电脑不会感染病毒”。背后的真相其实是没有Mac恶意软件完全符合对“病毒”的严格定义。然而其他人则误以为Mac电脑是无懈可击,就像说,“Mac被沙盒包装过,所以它们不会被感染。”

在这种环境下,普通Mac用户没有有效的保护措施来防止他们感染恶意软件,更不用说规避广告软件和PUP所带来的更为常见的威胁了。更糟糕的是,因为他们觉得没有危险,所以即使是在他们操作Windows机器时也依然没有足够的防范措施。
苹果公司的macOS包含了一些有用的安全功能,但它们很容易被新的恶意软件绕过,而且它们根本无法解决广告软件和PUP问题。所以macOS并不是无懈可击的。

(完)