macOS系统面临新型隐秘威胁
近期,网络安全领域发现了一种专门针对苹果macOS操作系统的新型恶意软件,其手段狡猾且极具针对性。与过往的攻击方式不同,该恶意软件巧妙利用了macOS系统中一项自带且较少被普通用户关注的功能,从而绕开了传统安全防护的视线。
攻击路径:从诱骗下载到权限窃取
据分析,该恶意软件主要通过伪装成流行应用程序(如即时通讯和协作工具)的虚假下载页面进行传播。用户在访问这些页面并下载所谓的“应用”后,恶意程序便会启动。
其核心攻击流程包含以下几个关键步骤:
- 脚本编辑器劫持: 恶意软件通过特定的URL方案,自动触发macOS系统内置的“脚本编辑器”应用程序。它将恶意的AppleScript代码隐藏在大段的ASCII艺术图案和无意义的空格字符之后,以躲避肉眼审查。
- 伪造安全弹窗: 当用户按照指示点击脚本编辑器中的“运行”按钮后,屏幕上会弹出一个精心伪造的、与苹果官方风格高度相似的“安全更新”弹窗。这个弹窗会诱导用户输入其电脑的管理员密码。
- 权限获取: 一旦用户输入密码,恶意软件便获得了系统的高级权限,为后续的破坏行为铺平道路。
多重窃取:从数字资产到个人隐私
在获取权限后,该恶意软件展现出多管齐下的数据窃取能力,主要目标直指数字资产和个人隐私。
- 攻击加密钱包: 它会扫描并定位系统中安装的几款主流加密货币桌面钱包管理应用程序。恶意软件会尝试修改这些钱包应用内部的配置文件或脚本,意图在未来用户发起交易时,将资金拦截并重定向到攻击者控制的地址。
- 盗取浏览器凭证: 程序会从Chrome、Firefox和Edge等主流浏览器中提取所有已保存的登录用户名和密码。
- 搜刮敏感文档: 它还会遍历用户的“桌面”和“文档”文件夹,寻找并窃取诸如.docx、.pdf,以及包含“.wallet”等扩展名的敏感文件。
持久化潜伏:伪装成系统更新
为了在受感染的电脑上长期驻留,该恶意软件还会在系统中安装一个后门程序。这个后门被伪装成与谷歌软件更新相关的系统组件目录,借此迷惑用户和安全软件,实现持续的远程访问和控制。
安全防护建议
面对此类高级威胁,用户需提高警惕,养成良好的安全习惯:
- 务必从官方网站或可信的应用商店下载软件,对所有非官方的下载链接保持高度怀疑。
- 当系统或软件突然弹出要求输入密码的“更新”或“验证”窗口时,务必谨慎。首先确认该请求是否合理,切勿轻易输入密码。
- 如果在访问某个网站时,系统自动打开了“脚本编辑器”并要求运行代码,应立即关闭该页面,这极有可能是恶意攻击的前兆。
- 定期更新操作系统和安全软件,并使用强密码保护重要账户。