Mac 惡意軟件涌現(xiàn)

最近，惡意分子正在傳播諸如 Shlayer 和 Bundlore 之類的 Mac 惡意軟件。

大多數(shù)用戶在上網(wǎng)時(shí)都能夠意識(shí)到需要警惕惡意站點(diǎn)。但是，如果是信譽(yù)良好的搜索引擎(如 Google 和 Bing)中的結(jié)果，會(huì)有很多人認(rèn)為這是安全的。

事實(shí)證明，所有的搜索引擎都會(huì)存在惡意的搜索結(jié)果，比如：攻擊者操縱 Google 搜索結(jié)果以誘導(dǎo)用戶點(diǎn)擊惡意網(wǎng)站并下載惡意軟件。

新型惡意軟件

網(wǎng)絡(luò)安全公司 Intego 最近發(fā)現(xiàn)了一種新的惡意軟件，該惡意軟件不僅規(guī)避了蘋果自身的安全設(shè)置而且在 VirusTotal 上完全無(wú)檢出。該惡意軟件由 Shlayer 和 Bundlore 的變體組成。

2019 年 1 月 VeryMal 使用 Shlayer感染了 Mac 設(shè)備，使用隱寫術(shù)來(lái)逃避檢測(cè)，并且將惡意代碼嵌入廣告中。

同一時(shí)期，還發(fā)現(xiàn)了該惡意軟件通過(guò) Adobe Flash 更新在 Mac 設(shè)備上安裝 Any Search 欄以顯示非法廣告。除廣告軟件外，該惡意軟件還攔截并收集瀏覽器數(shù)據(jù)，修改搜索結(jié)果以大量投放廣告。

另一方面，Bundlore 是廣告軟件，自從 2015 年開(kāi)始就非?；钴S。不僅使用多種技術(shù)繞過(guò) Mac 的安全機(jī)制，還從設(shè)備上收集個(gè)人數(shù)據(jù)并重定向用戶到惡意站點(diǎn)。

利用搜索引擎

此時(shí)此刻，黑客也在使用 Google 搜索來(lái)傳播惡意軟件，該軟件冒充 Adobe Flash Player 的更新。

例如，用戶搜索 YouTube 視頻的標(biāo)題，然后在搜索結(jié)果中點(diǎn)擊進(jìn)入另一個(gè)頁(yè)面，頁(yè)面會(huì)通知其要更新 Flash Player。旁邊還會(huì)提示這很重要的警告，敦促用戶抓緊更新。

下載安裝文件后，用戶將會(huì)按說(shuō)明進(jìn)行安裝：

安裝程序啟動(dòng)后，會(huì)在終端運(yùn)行 shell 腳本，從自嵌入、加密的 ZIP 包中提取 Mac 惡意軟件包。

研究人員在文章中進(jìn)一步解釋了后續(xù)的步驟：Mac 應(yīng)用程序啟動(dòng)后，將下載一個(gè)合法的，由 Adobe 簽名的 Flash Player 安裝程序，使這看起來(lái)是真的。但隱藏的 Mac 應(yīng)用程序還可以下載任何其他 Mac 惡意軟件或廣告軟件。

盡管 Google 盡力保證排除此類搜索結(jié)果，但是仍然難以完全清除。用戶必須保持警惕，僅在信譽(yù)良好的網(wǎng)站上下載文件。

濫用搜索引擎很常見(jiàn)

犯罪分子經(jīng)常會(huì)濫用搜索引擎來(lái)傳播惡意軟件。此前久有攻擊者利用 Google Adwords 和 Google Sites偽造 Google Chrome 瀏覽器來(lái)傳播惡意軟件。

此外，2017 年也發(fā)現(xiàn)了攻擊者利用 Google 搜索結(jié)果，通過(guò) SEO 惡意廣告和 SERP 中毒來(lái)分發(fā) Zeus Panda 銀行木馬。

參考來(lái)源：HackRead