MAC恶意软件仍然很粗糙,但正在慢慢赶上Windows竞争对手

滥用宏的恶意微软Word文档长期以来一直是Windows用户的克星。现在,安全研究人员已经发现,这可能是第一次感染Macs的真实攻击。

攻击是在一个名为“美国盟友和对手消化特朗普的胜利——卡内基国际和平基金会”的Word文件中发现的。当Mac用户在配置为允许宏并忽略警告的Word应用程序中打开文档时,嵌入的宏会自动:

检查以确保小飞贼安全防火墙没有运行它自己从hxps : / / www . securitychecking . org : 443 / index . ASP使用硬编码密钥解密有效负载,并执行payload宏中包含的代码是用Python编程语言编写的。它几乎一字不差地取自emperyre,这是一个Macs的开源开发框架。当研究人员发现这个被诱杀的文件时,securitychecking . org已经不再为有效载荷服务,所以无法准确知道它是做什么的。但宏借用的emperyre组件允许持续感染,它包含广泛的功能,包括监控网络摄像头、窃取钥匙串中存储的密码和加密密钥以及访问浏览历史。不是特别高级恶意软件的整体质量不是特别高级。不过,它使用Word宏还是很重要的。恶意宏虽然看起来很简单,但在感染大量应该更了解的人方面仍然非常有效。例如,word macros是首个已知黑客导致停电的初始感染点,2015年12月,停电导致225,000名乌克兰人断电。恶意宏还为一些最具攻击性的ransomware产品提供支持,其中包括一个名为Locky的产品。宏似乎在2014年末随着Dridex恶意软件的兴起而卷土重来,这大概是因为Java、Adobe Flash和Internet Explorer中安全性的提高使得开发这些应用程序变得更加困难。

通过在Word文档中使用宏,他们正在利用最薄弱的环节;人类! Patrick Wardle是安全公司Synack的研究主管,他在对恶意文件的分析中写道。此外,由于宏是合法的功能(与内存损坏漏洞相比),恶意软件的感染媒介不必担心系统崩溃或修补。

Wardle s周一的分析是在同一天进行的,两名无关的研究人员报告说,他们在野外发现了一个单独的Mac恶意软件,该恶意软件旨在窃取钥匙链上的凭据。就像恶意Word文档一样,恶意软件编写得很差,并提升了其他开发人员代码。不过,综合起来看,这些发现表明主流MacOS恶意软件尚未赶上Windows对手,但差距正在稳步缩小。