监视间谍软件从Windows迁移到Mac操作系统X

  凤凰动态     |      2018-06-26

研究人员发现了一场基于恶意软件的间谍活动,让Mac用户接受多年来一直在使用的相同技术,从Windows机器上秘密窃取机密数据。AlienVault的安全研究员海梅·布拉斯科告诉Ars说,最近发现的竞选活动针对使用Mac的几个亲西藏非政府组织的员工,并利用微软Office和甲骨文Java框架中已经修补的漏洞进行攻击。过去两周,他发现了两个单独的后门木马程序,当用户打开发送给他们的电子邮件中包含的陷阱Word文档或网站链接时,就会安装这些木马程序。木马安装后,会将与Mac相关联的计算机、用户和域名发送到攻击者控制下的服务器,然后等待进一步的指令。

这个特殊的后门有很多功能,他谈到他发现的最新木马。他说,受害者几乎什么都看不见。

Blasco s的发现(记录在这里和这里的博客文章中)是首批表明Macs正遭受困扰Windows用户多年的相同类型的高级持久威胁( APTs )的发现之一,而这种转变并不是特别意外的。随着Google等公司越来越多地采用Macs来限制他们暴露在依赖Windows的漏洞中,对他们进行间谍活动的间谍也不可避免地会做出改变。防病毒提供商趋势科技( Trend Micro )的安全研究员伊万·马卡林塔尔说:“

[攻击者]一直通过针对Windows的APT风格、有针对性的攻击活动进行安装,他们现在也开始对Macs进行安装。”。马卡林塔尔记载了布拉斯科发现的一些同样的漏洞和特洛伊木马。

另一位证实了这一发现的研究人员是ESET安全情报小组组长亚历克西斯·多拉斯-琼斯卡斯。在他自己的博客文章中,他记录了特洛伊木马程序之一用来隐藏感染的Macs与命令和控制服务器之间的通信的加密。他还描述了发送到他感染的测试机器的一系列查询,他认为这些查询是由服务器另一端的真人手动键入的。他们调用Unix命令来搜索Mac文件夹,这些文件夹通常存储浏览器cookies、密码和软件下载。

这里的目的显然是窃取信息,他写道。

他指出,他观察到的后门无法在没有管理员权限的Macs上重新启动后存活。这是因为用于隐藏底层恶意软件文件之一的/ Library / Audio /插件/ Audio server文件夹不允许无权限的用户在其中保存数据。由AlienVault s Blasco分析的最新特洛伊木马程序克服了这一缺点,将文件保存在限制较少的/ Users / { User } / Library / launchagent /文件夹中,确保每次用户帐户启动时都启动该文件。

后门是利用Mac用户广泛使用的两个软件中的关键漏洞安装的。其中一个漏洞是Microsoft Office中的Mac缓冲区溢出漏洞,2009年修补,另一个漏洞是Java中未指定的错误,10月份修复。Java漏洞攻击足够先进,可以读取目标受害者浏览器的用户代理,并根据结果卸载运行Windows或OS x的计算机独有的有效负载。过去36个月来,针对Macs的恶意软件报告稳步上升。大多数报告的感染依赖于用户的易受骗性,诱使他们相信他们的系统已经被破坏,可以通过下载和安装一个流氓杀毒软件来进行消毒。另一些人利用软件弱点安装窃取数据的特洛伊木马程序,通常需要用户很少的交互。虽然这些报告比较少见,但至少可以追溯到2010年7月。趋势科技的Macalintal在他的部落格文章中说,他观察到的「利用」一词删除了Gh0stRat的有效负载,这是指三年前揭露的渗透到103个国家政府和私人办公室的庞大恶意程式间谍网路。Macalintal还说,“利用漏洞”这个词是通过将Mac可执行文件(称为Mach - Os )嵌入到陷阱文件中来实现的。一直在为一个名为公民实验室的组织监控针对亲西藏团体的间谍攻击的资深安全分析师Seth Hardy说,现在知道最近的行动是否与Gh0stRat有关还为时尚早。哈迪的公民实验室是研究和出版《云网间谍报告》中跟踪Ghostnet和shaddows的主要组织,总部设在芒克全球事务学院,他接着说,Macs可能在未来的攻击中扮演越来越重要的角色。

虽然APT适合Mac ( iAPT?)并不完全是新的,他在一封电子邮件中写道:“看起来,攻击者的确在抓住许多这样的组织比一般公众更多地使用Macs的机会。”。同样有趣的是,攻击者正在开发多平台攻击:我们看到Mac恶意软件与类似的Windows恶意软件捆绑在一起,传递系统将识别用户的操作系统并运行相应的程序。