Intel471 的新报告显示,macOS 越来越成为威胁行为者的目标,他们为操作系统开发特定的恶意软件或使用跨平台语言在 macOS 计算机上实现他们的目标。

更多的macOS漏洞也在野外被利用。恶意软件和漏洞可能被用于网络犯罪和网络间谍活动。

macOS 上的恶意软件比以往任何时候都多

在 2023 年 1 月至 2024 年 7 月期间,研究人员观察到 40 多个威胁行为者使用不同的恶意软件类型针对 macOS 系统,其中最受欢迎的是信息窃取程序和特洛伊木马。

信息窃取者

信息窃取恶意软件(又名信息窃取程序)越来越多地在所有操作系统上开发和部署,macOS 也不例外。

根据云安全公司 Uptycs 的数据,与 2022 年同期相比,2023 年第一季度涉及信息窃取者的事件翻了一番。网络安全公司Group-IB还报告说,与macOS信息窃取者相关的地下销售增长了五倍。

网络犯罪分子使用此类软件来窃取登录凭据、启用无凭据身份验证的会话 cookie 以及更多数据,例如信用卡信息或加密货币钱包。该软件也被初始访问经纪人广泛使用,他们通常从公司而不是个人那里收集有效凭据,并将其出售给其他网络犯罪分子。

Atomic Stealer——也称为 Atomic macOS Stealer 或 AMOS——是自 2023 年以来最受欢迎的 macOS 信息窃取器之一。它旨在从 macOS 设备和浏览器中窃取凭据和加密货币钱包数据。

然而,多个网络犯罪分子操作或宣传其他针对 macOS 的信息窃取者。一个绰号为 codehex 的威胁行为者为名为 ShadowVault 的 macOS 信息窃取器做广告,该窃取器能够从各种基于 Chrome 的浏览器中窃取数据、存储在受感染计算机上的文件以及从加密货币钱包中窃取数据。

恶意软件运营商还可以使用 Apple 开发人员签名对其进行签名,从而使安全软件更难检测到它。该恶意软件在恶意软件即服务 (MaaS) 商业模式下以每月 500 美元的价格出售。

另一个更昂贵的信息窃取者Quark Lab,具有从系统以及加密货币钱包和流行的浏览器信息中窃取钥匙串密码的能力,每月售价为3,000美元。

木马

远程访问木马是另一种流行的恶意软件类别,越来越多地部署在macOS上。

RustDoor 是一种用 RUST 开发的 macOS 恶意软件,可能与勒索软件威胁行为者有关,它为其控制器提供了多种功能:

  • 执行远程命令。
  • 在受感染的系统上操作文件。
  • 添加更多有效负载。
  • 收集系统信息。

这使其成为网络间谍活动和网络犯罪威胁行为者的独特工具。Rust 编程语言在恶意软件开发人员中越来越流行,因为它是一种跨平台语言,允许开发人员轻松地将代码移植到任何操作系统中。

勒索软件

正如 Intel471 所写,“macOS 勒索软件的出现引起了人们的担忧,因为它表明威胁行为者正在寻求新的途径来入侵 Apple 用户。

2023 年 4 月,安全研究人员发现了臭名昭著的 LockBit 勒索软件的新加密器,该勒索软件针对 macOS 设备,包括在 Apple Silicon 上运行的较新 macOS 系统。

2023 年底,出现了另一种不太先进的勒索软件,称为 Turtle,并再次使用跨平台编程语言 Golang(又名 Go)开发。正如专家安全研究员帕特里克·沃德尔(Patrick Wardle)所解释的那样,该恶意软件只是临时签名的,未经公证,因此可以被Gatekeeper检测到。

被利用的漏洞

根据补丁管理软件公司 Action1 的数据,2023 年被利用的 macOS 漏洞数量增加了 30% 以上。

此外,Intel471 在 2020 年 3 月至 2024 年 7 月期间发现了 69 个影响多个 macOS 版本的漏洞,其中 10 多个漏洞被列为高风险级别。其中一些漏洞已被网络间谍威胁行为者利用。

CVE-2023-41993 是一个针对多个 macOS 版本的不明漏洞,被利用来安装 Cytrox 的 Predator 间谍软件,该间谍软件已出售给全球多个国家资助的组织。

威胁行为者还利用了缓冲区溢出漏洞 CVE-2023-41064。网络间谍威胁行为者将其间谍软件出售给国家资助的组织。

一名绰号为 oDmC3oJrrSuZLhp 的网络犯罪分子提出以 270 万美元的价格在地下论坛上出售一个漏洞,用于开发 CVE-2022-32893 漏洞,该漏洞允许攻击者在目标系统上执行任意代码。

国家支持的威胁行为者

虽然不同的间谍软件提供商已将其服务出售给国家支持的威胁行为者,但其中一些威胁行为者确实开发了针对 macOS 的恶意软件和工具。

例如,朝鲜威胁行为者 BlueNoroff 开发了一种名为 RustBucket 的恶意加载器,该加载器专为 macOS 开发,旨在针对活动与加密货币相关的金融机构。

该组织还针对持有加密货币资产的个人,最终目标是从目标钱包中窃取所有加密货币。

俄罗斯武装部队总参谋部总局下属的俄罗斯威胁行为者 APT28 和俄罗斯外国情报局下属的 APT29 也使用了 macOS 恶意软件。

APT28 使用的 XAgent 模块化后门已经存在多年,并包含 macOS 版本,允许它从受感染的 macOS 系统中窃取数据,包括包含消息、联系人、语音邮件、通话记录、便笺和日历的 iOS 备份。APT29 使用了不再受支持的 Empire 跨平台远程管理和漏洞利用后框架,从而实现了对 macOS 的攻击。

总部位于越南的威胁行为者 APT32 还部署了一个用于针对不同组织的 macOS 后门。

如何防范这种威胁

macOS 系统必须始终保持最新并进行修补,以避免受到常见漏洞的威胁。

应在系统上部署安全软件,以检测恶意软件和可疑活动。还应该使用电子邮件安全解决方案,因为许多最初的妥协都是通过网络钓鱼电子邮件传播的。

最后,所有员工都需要接受培训,以发现电子邮件或即时通讯工具中使用的潜在社会工程技术。