卡巴斯基安全實(shí)驗(yàn)室近日發(fā)布博文，發(fā)現(xiàn)了一種針對(duì)蘋果 macOS 設(shè)備的新型惡意軟件家族，并提醒蘋果 Mac 用戶謹(jǐn)慎下載破解軟件。

報(bào)告稱這種新型惡意軟件家族高度復(fù)雜，主要偽裝成為各種知名 macOS 軟件的破解版分發(fā)，用戶下載惡意 PKG 文件之后，會(huì)誘導(dǎo)用戶輸入管理員密碼，從而獲取設(shè)備管理權(quán)限。

該惡意軟件家族在獲得用戶許可之后，使用一種名為“AuthorizationExecuteWithPrivileges”的技術(shù)，運(yùn)行相關(guān)可執(zhí)行文件。

然后，它會(huì)驗(yàn)證是否存在 Python 3，并在需要時(shí)進(jìn)行安裝。這就造成了典型的應(yīng)用程序打補(bǔ)丁過程的假象。

隨后，惡意軟件以 "apple-health [.] org" 為幌子與控制服務(wù)器聯(lián)系，檢索能夠執(zhí)行任意命令的 base64 編碼 Python 腳本。

研究人員注意到，攻擊者使用了一種創(chuàng)新方法來生成聯(lián)系 URL。他們將兩個(gè)硬編碼列表中的單詞與隨機(jī)字母序列連接起來，每次都會(huì)生成一個(gè)獨(dú)特的子域。

卡巴斯基專家指出，向 DNS 服務(wù)器發(fā)出的請(qǐng)求看似正常，但實(shí)際上是為了檢索包含惡意有效載荷的 TXT 記錄。

DNS 服務(wù)器的響應(yīng)包括三個(gè) TXT 記錄片段，每個(gè)片段都以 base64 編碼，并使用 AES 對(duì)信息進(jìn)行加密，這些片段累積起來就形成了 Python 腳本。

該惡意軟件家族可以建立后門，收集用戶操作系統(tǒng)版本、應(yīng)用程序、CPU 類型和外部 IP 地址等數(shù)據(jù)。此外該惡意軟件還會(huì)修改系統(tǒng)文件，以確保惡意腳本即使在系統(tǒng)重啟后也能保持激活狀態(tài)。