出版商 Eset 的安全研究人员刚刚遇到了一种名为“Keydnap”的新 Mac OS X 恶意软件,该恶意软件专门收集密码。该恶意代码的零日缺陷点:黑客主要依靠诈骗技术和虚假伪装。恶意软件以压缩文本文件或图像的形式到达,可能通过垃圾邮件分发或上传到陷阱网站。
阅读:RansomWhere 检测 Mac 操作系统上的加密恶意软件
解压后,请勿双击它,因为该文件实际上是可执行文件。“文件扩展名以空格结尾,导致它在终端窗口中启动,而不是预览或文本编辑”,编辑在a中解释说博客文章。用户只看到火焰,因为终端窗口关闭的速度与打开的速度一样快。此外,执行的代码将按照预期用真实图像替换假图像并打开它。“我们已经看到带有代表僵尸网络管理界面的图像或银行卡号列表的样本。这表明 Keydnap 的目标是地下论坛的用户,甚至是安全研究人员。”,Eset 强调。
显然,恶意代码不仅仅会替换文件。它还将下载第二个恶意软件,该恶意软件将在计算机上安装后门,其目的是窃取计算机钥匙串管理器中存储的密码。但他只有拥有管理员权限才能做到这一点。为了获取它们,它将扫描启动的程序列表。当新进程出现时,它会生成一个管理员连接窗口,与我们在 Mac OS 上时不时看到的相同如果用户上当了,那就结束了。
好消息是,第一个可执行文件通常会被 GateKeeper 停止,GateKeeper 是一款 Mac 安全软件,仅允许来自可信来源的软件运行。当用户单击图像时,将显示有关其执行的警报,这对于此类文件来说显然是完全不正常的。 Mac OS 上默认启用 GateKeeper
