某些條件下可自毀,偽裝成合法 Mac App 惡意軟體再度出沒
MacPaw 旗下網路安全部門 Moonlock 的研究人員近期偵測到一款新 macOS 惡意軟體,這款軟體會偽裝成合法的 Mac 應用程式,且可在某些條件下自毀。如果使用者不小心安裝到此款應用程式,那麼這款 App 可以在神不知鬼不覺得情況下從 Safari 與 Chrome 當中提取 cookie,或是從使用者的通訊錄存取聯絡人,以及從已安裝的密碼管理器中擷取出密碼。
現在有越來越多人開始使用 Mac,這也使得惡意人士開始瞄準此類設備進行攻擊。
Moonlock 研究人員指出,他們在研究樣本時會透過惡意軟體分析服務 VirusTotal 來找出新出沒的惡意軟體。這次被發現的新惡意軟體名為 Empire Transfer 12.3.23.dmg,其文件最早是自去年 12 月首次出現在 VirusTotal 上。
這款惡意應用程式可以通過所有掃描檢測,並顯示為合法應用程式,並使用「EMPIRE」這個品牌名稱,這是一個與 Kendrick Lamar、Snoop Dogg 等人有聯繫的知名唱片公司。
研究人員表示,命名惡意軟體的一種標準方式就是使用通用名稱,為了做到這一點,惡意人士會使用易於被網路搜尋到的名稱來誤導用戶。
Empire Transfer 是一種被稱為資訊竊取程式的木馬惡意軟體,這款應用程式設計的目的就是要從受感染的設備中收集盡可能多的敏感資訊,並可保持不被發現。其收集的資料包括用戶密碼、信用卡資料、聯絡人或加密貨幣金鑰等,這些敏感資訊會透過電子郵件或遠端連線的方式回傳給惡意人士。
研究人員指稱,Empire Transfer 12.3.23.dmg 部署了各種技術來執行惡意操作,包括透過「osascript」工具啟動 AppleScript 來欺騙用戶洩漏密碼。
且除了針對本機安裝的密碼管理器(或錢包)外,此一惡意軟體還進一步提取 Safari 和 Chrome cookie 和聯絡人資訊。
Moonlock 認為,Empire Transfer 具有與 AMOS 密切相關的特徵,另一款資訊竊取程式於去年稍早就開始針對 iCloud 鑰匙圈密碼竊取資訊。
值得注意的是,Empire Transfer 的 Mach-O 檔案部署了反虛擬化技術,當 App 偵測到它處於非蘋果設備環境當中時,就會觸發程式碼「自殺」;這是惡意人士設計的複雜技術,旨在逃避檢測並防止安全研究人員進行取證調查。
(首圖來源:Flickr/Christiaan Colen CC BY 2.0)