SentinelLabs 研究人员发现一个新的病毒家族针对运行 macOS 的计算机。这种新威胁被专家称为“FlexibleFerret”,被认为是无法检测到的。目前,Apple 的安全机制无法识别所有恶意软件。
另请阅读:
虚假招聘人员诱骗求职者
恶意软件正在被称为“传染性采访”的网络攻击浪潮中被利用。黑客假装是招聘人员正在寻找新员工。通过在求职面试期间与求职者沟通,网络犯罪分子会促使他们在 Mac 上安装病毒。
为了愚弄他们的目标,黑客将病毒植入虚假更新的和安装软件。有时病毒也隐藏在虚假的信息中“更新虚拟会议所需的软件,例如 VCam 或 CameraAccess。”
一旦FlexibleFerret成功渗透到计算机中,恶意软件就会在操作系统中添加后门。这为安装所有可能的病毒打开了大门。攻击导致敏感数据被盗。
有效的开发者证书
FlexFerret 依赖有效的开发者证书。该证书已被 Apple 撤销,它允许病毒绕过标准 macOS 保护并伪装成合法软件。
“迄今为止,XProtect 不包含任何检测FlexibleFerret 的规则。FlexibleFerret 与 Apple 政策中列出的其他恶意软件之间的主要区别之一是它是使用有效的 Apple 开发者 ID 进行签名的。在我们发布报告时,该证书已被 Apple 撤销,这表明 Apple 已经意识到该开发者的存在。SentinelLabs 首席研究员 Phil Stokes 解释道。
为了应对这一威胁,苹果公司更新了XProtect,macOS 内置的防病毒保护系统。它被编程为检测和阻止已知的恶意软件。下载或打开文件时,macOS 会根据软件签名检查它是否与已知威胁匹配。 SentinelLabs 表示,更新后,系统能够检测 FlexibleFerret 的多个版本。一些变化是仍然无法检测到。黑客的反应是修改病毒,使 XProtect 无法运行。
在这些网络攻击的背后,我们发现受朝鲜委托的网络犯罪分子。在金正恩政府的资助下,海盗拥有大量资源来开展他们的活动。 SentinelLabs 在其报告中估计,自 2023 年冬季以来,攻击数量有所增加。
研究人员指出,他们观察到“急剧增加”过去一年针对 Mac 的病毒。在流行的病毒中,我们发现“信息窃贼”,旨在从计算机中提取所有数据。
来源 : 哨兵一号
