卡巴斯基實(shí)驗(yàn)室在最近公布的一份Icefog APT(即高級(jí)持續(xù)性威脅)報(bào)告中指出，惡意軟件作者創(chuàng)建出的這款Mac程序能夠與其僵尸網(wǎng)絡(luò)相連接。它已經(jīng)組織過數(shù)次有限的實(shí)驗(yàn)性攻擊，主要針對(duì)韓國(guó)及日本等遠(yuǎn)東地區(qū)國(guó)家。

該軟件的Windows版本可以追溯到2011年甚至更早。但Mac版本的發(fā)展路線則完全不同：它藏身于合法圖形軟件Img2icns當(dāng)中——該軟件用于將圖片轉(zhuǎn)換為圖標(biāo)格式(反之亦然)。當(dāng)用戶安裝了這款軟件并載入之后，Icefog木馬也將被載入到系統(tǒng)當(dāng)中。

包含惡意軟件的Img2icns于2012年末出現(xiàn)在眾多中國(guó)的BBS論壇當(dāng)中，卡巴斯基認(rèn)為該程序目前尚處于實(shí)驗(yàn)階段、內(nèi)容也尚不完整。

包含Mac Icefog木馬的BBS帖子，該木馬被綁定在圖形處理程序Img2icns當(dāng)中。

該程序的后門機(jī)制與Windows版本非常相似：它會(huì)收集與主機(jī)系統(tǒng)相關(guān)的信息并將結(jié)果返回至命令與控制服務(wù)器，而后將命令付諸執(zhí)行。

該程序采用64位庫，而且只與OS X 10.7及10.8版本相兼容。由于它不具備代碼標(biāo)識(shí)，因此OS X 10.8系統(tǒng)中的Gatekeeper功能將無法成功實(shí)現(xiàn)阻止，從而導(dǎo)致安全漏洞的出現(xiàn)。

Mac平臺(tái)反惡意軟件廠商Intego公司指出，這項(xiàng)威脅與OS X/Leverage非常相似。二者都會(huì)“……在后門啟動(dòng)時(shí)阻止Dock圖標(biāo)的激活，也無法通過Command+Tab鍵進(jìn)行應(yīng)用切換顯示其存在，因此用戶恐怕很難意識(shí)到自己已經(jīng)成為攻擊目標(biāo)。”

卡巴斯基表示，目前已經(jīng)有數(shù)百位用戶受到Mac Icefog的感染，不過他們還無法確定任何受到感染的具體系統(tǒng)。他們推測(cè)，目前出現(xiàn)的版本只是測(cè)試版，主要目的在于為后續(xù)攻擊活動(dòng)做好鋪墊。

反惡意軟件廠商在追蹤Icefog方面表現(xiàn)得相當(dāng)遲鈍。根據(jù)Virustotal最近發(fā)布的分析結(jié)果(截止時(shí)間為UTC 2013-9-29 16：21：39)顯示，測(cè)試的44種對(duì)象中有10種受到感染。這樣的結(jié)果多少令人感到安心，畢竟該威脅似乎還并未廣泛肆虐。

隨著檢測(cè)工作的深入，我們可能會(huì)逐步發(fā)現(xiàn)更多由此衍生出的新興攻擊活動(dòng)。