近日,卡巴斯基安全实验室发布了一份博文,指出了一种新型恶意软件家族针对苹果 macOS 设备的威胁。这种恶意软件伪装成各种知名 macOS 软件的破解版分发,并在用户下载后诱导输入管理员密码以获取设备管理权限。
一旦成功获取权限,该恶意软件会通过使用名为“AuthorizationExecuteWithPrivileges”的技术运行相关可执行文件,并验证是否存在 Python 3,并在需要时进行安装。接下来,它会联系一个名为“apple-health [.] org”的子域名来检索能够执行任意命令的 base64 编码 Python 脚本。
研究人员注意到,攻击者使用了一种创新方法来生成联系 URL。他们将两个硬编码列表中的单词与随机字母序列连接起来,每次都会生成一个独特的子域。这个看似正常地向 DNS 服务器发出请求实际上是为了检索包含恶意有效载荷的 TXT 记录。
DNS 服务器的响应包括三个 TXT 记录片段,每个片段都以 base64 编码,并使用 AES 对信息进行加密,累积起来就形成了 Python 脚本。这些脚本可以建立后门、收集用户操作系统版本、应用程序、CPU 类型和外部 IP 地址等数据,并修改系统文件以确保恶意脚本即使在系统重启后也能保持激活状态。
此外,该恶意软件还会扫描比特币核心和 Exodus 钱包,并将发现的钱包替换为篡改版本,从而向攻击者泄露重要信息。
这份报告再次提醒苹果 Mac 用户谨慎下载破解软件,并建议及时采取安全措施保护设备免受此类威胁。
本文属于原创文章,如若转载,请注明来源:警惕!macOS面临新型恶意软件,窃取敏感信息及比特币钱包https://news.zol.com.cn/853/8533540.html
