安全研究人員發(fā)現(xiàn)了一種新的、以前未知的macOS惡意軟件，它利用盜版軟件滲透用戶系統(tǒng)。

根據(jù)卡巴斯基的一份新報(bào)告，這種惡意軟件與未經(jīng)授權(quán)的代理服務(wù)器安裝不同，其方法非常復(fù)雜。

惡意行為者將預(yù)先破解的應(yīng)用程序重新打包為PKG文件，在盜版網(wǎng)站上傳播的應(yīng)用程序中嵌入特洛伊木馬代理和安裝后腳本。該惡意軟件針對(duì)的是macOS Ventura 13.6及更新版本，在英特爾處理器和蘋果芯片機(jī)器上都能運(yùn)行。

該惡意軟件名為Activator，顯示了一個(gè)帶有補(bǔ)丁按鈕的看似簡(jiǎn)單的GUI。但是，仔細(xì)檢查就會(huì)發(fā)現(xiàn)在Resources文件夾中有一個(gè)Python 3.9.6安裝程序和一個(gè)名為tool的額外Mach-O文件。Activator使用了一個(gè)過時(shí)的函數(shù)AuthorizationExecuteWithPrivileges來獲得管理員權(quán)限。這最終啟用了執(zhí)行一個(gè)Python腳本來修補(bǔ)下載的應(yīng)用程序。

惡意軟件的第二階段涉及通過向包含加密腳本的TXT記錄發(fā)出DNS請(qǐng)求來接觸命令和控制(C2)服務(wù)器。解密后的腳本由一個(gè)工具執(zhí)行，顯示了殺死NotificationCenter進(jìn)程和安裝啟動(dòng)代理以持久執(zhí)行等功能。

惡意軟件的第三階段暴露了一個(gè)與C2服務(wù)器通信的后門，發(fā)送有關(guān)受感染系統(tǒng)、已安裝應(yīng)用程序等的信息。卡巴斯基澄清說，雖然服務(wù)器在調(diào)查期間沒有發(fā)出命令，但它暗示了惡意軟件活動(dòng)的持續(xù)發(fā)展。

最后，惡意軟件的第四階段公布了一個(gè)加密竊取組件，將合法的加密貨幣錢包替換為受感染的版本。惡意軟件操作者在Exodus和Bitcoin-Qt等應(yīng)用程序中嵌入惡意代碼，竊取用戶的錢包信息。

根據(jù)卡巴斯基安全研究員謝爾蓋·普贊(Sergey Puzan)的說法，這一發(fā)現(xiàn)強(qiáng)調(diào)了使用被破解應(yīng)用程序的用戶的易感性。

網(wǎng)絡(luò)犯罪分子使用盜版應(yīng)用程序輕松訪問用戶的計(jì)算機(jī)，并通過要求用戶輸入密碼來獲得管理員權(quán)限。創(chuàng)建者將Python腳本隱藏在DNS服務(wù)器的記錄中，增加了惡意軟件在網(wǎng)絡(luò)流量中的隱身程度，這顯示了不同尋常的創(chuàng)造力。

為了防范這種潛在的威脅，用戶應(yīng)該提高警惕，特別是對(duì)他們的加密貨幣錢包，不要從可疑網(wǎng)站下載內(nèi)容，并選擇可靠的網(wǎng)絡(luò)安全解決方案，以加強(qiáng)整體保護(hù)。