对于 Mac 用户来说, 他们会经常自我洗脑: Mac 根本不需要什么所谓的杀毒软件, 因为世上压根就没有 Mac 病毒不过我要告诉你的是, 这压根就是胡扯也许你会说 Mac 就是比 windows 安全, 但我要告诉你的是世界上已知被广泛传播的第一个计算机病毒 Elk Cloner, 就是奇? 斯克伦塔 (Rich Skrenta) 在一台苹果计算机上制造的, 要知道当时是 1982 年计算机还没有硬盘驱动器
针对 Mac 设备的恶意软件爆发现象不常见但一旦出现, 便会立即引起人们的关注在 2017 年 5 月份爆发的勒索病毒 WannaCry 事件中, 所有 Mac 用户都以为自己能够幸免不过, MacOS 的安全性神话并没有延续很久因为紧接着 6 月份就两个针对 MacOS 的恶意软件服务 MacRansom 勒索程序和 MacSpy 恶意软件服务(MaaS)
其中, MacRansom 是迄今为止首个针对 MacOS 的勒索病毒另外, MacSpy 属于远端存取木马, 目前拥有免费和付费版两种形态, 免费版可以实现屏幕截图键盘记录声音记录以及 iCloud 同步等功能, 而且不会留下任何痕迹付费版的功能更加强大, 可以打开系统文档加密系统目录已经用户的邮件及社交软件账户信息值得一提的是, MacSpy 开发团队表示, 越来越多的人都因为觉得 MacOS 更安全而开始使用该系统, 所以此次打造了这款恶意病毒来告诉大家, 并没有任何一款操作系统是完美的
Mac 恶意软件在 2018 年的发展趋势
相比 2017 年, 2018 年的 Mac 恶意软件又发生了许多变化, 越来越多的恶意软件开发者将攻击矛头指向所谓这个世界上最安全的 Mac 系统截至目前, 我已经看到四个新出现的 Mac 攻击软件
OSX.MaMi
其中第一个出现的是 OSX.MaMi,2018 年的第二周, macOS 就迎来一款 DNS 篡改恶意软件 OSX/MaMi, 在这之前还没有发现过有 macOS 系统的劫持 DNS 设置的恶意软件出现过它可以通过 Keychain Access 应用来查看安装的证书, 且在系统 keychain 中作为根 CA
这样, 攻击者就可以通过将计算机的 DNS 查找重定向到恶意服务器, 恶意软件背后的黑客就可以将流量导向合法网站, 如银行网站, 亚马逊和 Apple 的 iCloud/Apple ID 服务, 最后再将其引导至恶意的仿冒网站新增的证书可用于执行中间人攻击, 且这些钓鱼网站似乎是合法的
因此, 这种恶意软件可能对使用钓鱼网站盗取凭据感兴趣, 至于该恶意软件保存哪些不同的站点上以及该恶意软件的感染途径, 研究人员目前还无法确定
CrossRAT
紧接着 OSX.MaMi,1 月末一篇关于 EFF/Lookout 报告的详细文章揭示了一个名为 Dark Caracal 的高级持续威胁 (APT) 小组, 参与了全球移动间谍活动, 同时揭示了一种名为 CrossRAT 的新型跨平台恶意软件(版本 0.1), 据称是由黑暗的 Caracal 小组开发的 CrossRAT 是一个跨平台的远程访问木马程序, 它可以针对所有四种流行的桌面操作系统, Windows,Solaris,Linux 和 macOS, 使远程攻击者能够操纵文件系统, 截图, 运行任意可执行文件
据研究人员称, Dark Caracal 黑客不依靠任何 0day 攻击来散布其恶意软件; 相反, 它通过 Facebook 群组和 WhatsApp 消息上的帖子使用基本的社交工程, 诱导用户访问黑客控制的虚假网站并下载恶意应用程序 CrossRAT 是用 Java 编程语言编写的, 使得反向工程师和研究人员很容易对其进行反编译
虽然不是很完整, 但这个恶意软件目前只是 0.1 版本, 说明它很可能正处于早期的开发阶段
尽管 Mac 已经很多年都不再预装 java 了, 但有些攻击则是根据特定的攻击目标进行量身制作, 比如有些被感染的特定目标都会处于一些原因去安装 java 或者这些目标已经被黑客通过特定途径安装了 java, 如感染目标人的 U 盘, 然后通过该人的 U 盘进行大面积扩散和感染
OSX.CreativeUpdate
紧接着就到了 2 月, OSX/CreativeUpdater 木马又被发现, 它借助热门的 MacUpdate 网站上被感染的应用来传播 OSX.CreativeUpdate 最初是通过有关 MacUpdate 网站的供应链攻击发现的 MacUpdate 网站遭到黑客攻击, 一些流行的 Mac 应用程序 (包括 Firefox) 的下载链接被恶意链接所取代
正如 Panic 公司在被盗源代码案例中记录的那样, 这类供应链攻击是特别危险的, 甚至能够感染开发和安全社区的安全管理者
从 MacUpdate 下载受影响的应用程序的用户最终会看到类似的恶意应用程序这些应用程序会在系统上安装恶意软件, 然后打开用户想要的原始应用程序由于该原始应用程序被捆绑在恶意应用程序中, 所以很难被发现
恶意软件一旦被安装, 就会使用计算机的 CPU 来挖掘门罗币这会导致电脑变慢, 风扇开始高速运转这会带来一些负面影响, 例如电脑性能受到重大影响, 电池寿命缩短, 电力用量增加, 甚至可能导致计算机过热并损坏硬件, 特别是风扇不能在峰值容量下工作时或通风口被灰尘堵塞的情况下
OSX.Coldroot
最新发现的恶意软件已被命名为 OSX.Coldroot, 它是一个通用的后门程序, 提供了典型的后门程序对系统的所有常见访问然而, 在最新的系统, 如 macOS 10.11 或更高版本中, OSX.Coldroot 的安装都会失败这个恶意软件的威胁似乎不是很大, 但也一定要小心
这些只是最近的一些例子, 从 2016 年至 2017 年, Mac 恶意软件就增长了 2.7 倍多光去年就出现了许多新的后门, 例如现在臭名昭着的 Fruitfly 恶意软件 FruitFly 是一款 macOS 和 OS X 恶意软件, 具有很多隐秘且强大的监控能力允许攻击者悄悄控制被感染的计算机, 计算机设备一旦被感染, 攻击者就可以使用该恶意软件查看屏幕中的显示内容进行截屏控制键盘访问网络摄像头以及窃取受害者设备中的其他敏感数据这包括他们的登录凭证税务记录照片银行记录互联网搜索记录以及私密的聊天记录等
不过这并没有解决日益增长的广告软件和 PUP 威胁 (可能有害的程序, 通常是伪装成合法软件的软件) 这些类型的威胁在过去几年中大量存在着, 甚至还威胁到了 Mac App Store, 其中某些类别的软件, 如杀毒软件或反广告软件几乎完全是 PUP 并且不可信
不幸的是, 目前仍有许多 Mac 用户对 macOS 的安全性存在严重的误解有些人仍然会告诉人们 Mac 电脑不会感染病毒, 因为 Mac 被沙盒包装过, 所以它们不会被感染
在这种错误的思想下, 普通 Mac 用户并没有有效的保护措施来防止他们所感染的恶意软件, 更不用说广告软件和 PUP 带来的更为常见的威胁
虽然苹果公司的 macOS 包含了一些内置的安全功能, 但它们很容易被最新的恶意软件绕过, 而且它们根本无法解决广告软件和 PUP 问题
来源: http://jaq.alibaba.com/community/art/show?articleid=1546