Mac 惡意軟件涌現(xiàn)

最近，惡意分子正在傳播諸如 Shlayer 和 Bundlore 之類的 Mac 惡意軟件。

大多數(shù)用戶在上網(wǎng)時都能夠意識到需要警惕惡意站點。但是，如果是信譽良好的搜索引擎(如 Google 和 Bing)中的結(jié)果，會有很多人認為這是安全的。

事實證明，所有的搜索引擎都會存在惡意的搜索結(jié)果，比如：攻擊者操縱 Google 搜索結(jié)果以誘導用戶點擊惡意網(wǎng)站并下載惡意軟件。

新型惡意軟件

網(wǎng)絡安全公司 Intego 最近發(fā)現(xiàn)了一種新的惡意軟件，該惡意軟件不僅規(guī)避了蘋果自身的安全設置而且在 VirusTotal 上完全無檢出。該惡意軟件由 Shlayer 和 Bundlore 的變體組成。

2019 年 1 月 VeryMal 使用 Shlayer感染了 Mac 設備，使用隱寫術來逃避檢測，并且將惡意代碼嵌入廣告中。

同一時期，還發(fā)現(xiàn)了該惡意軟件通過 Adobe Flash 更新在 Mac 設備上安裝 Any Search 欄以顯示非法廣告。除廣告軟件外，該惡意軟件還攔截并收集瀏覽器數(shù)據(jù)，修改搜索結(jié)果以大量投放廣告。

另一方面，Bundlore 是廣告軟件，自從 2015 年開始就非?；钴S。不僅使用多種技術繞過 Mac 的安全機制，還從設備上收集個人數(shù)據(jù)并重定向用戶到惡意站點。

利用搜索引擎

此時此刻，黑客也在使用 Google 搜索來傳播惡意軟件，該軟件冒充 Adobe Flash Player 的更新。

例如，用戶搜索 YouTube 視頻的標題，然后在搜索結(jié)果中點擊進入另一個頁面，頁面會通知其要更新 Flash Player。旁邊還會提示這很重要的警告，敦促用戶抓緊更新。

下載安裝文件后，用戶將會按說明進行安裝：

安裝程序啟動后，會在終端運行 shell 腳本，從自嵌入、加密的 ZIP 包中提取 Mac 惡意軟件包。

研究人員在文章中進一步解釋了后續(xù)的步驟：Mac 應用程序啟動后，將下載一個合法的，由 Adobe 簽名的 Flash Player 安裝程序，使這看起來是真的。但隱藏的 Mac 應用程序還可以下載任何其他 Mac 惡意軟件或廣告軟件。

盡管 Google 盡力保證排除此類搜索結(jié)果，但是仍然難以完全清除。用戶必須保持警惕，僅在信譽良好的網(wǎng)站上下載文件。

濫用搜索引擎很常見

犯罪分子經(jīng)常會濫用搜索引擎來傳播惡意軟件。此前久有攻擊者利用 Google Adwords 和 Google Sites偽造 Google Chrome 瀏覽器來傳播惡意軟件。

此外，2017 年也發(fā)現(xiàn)了攻擊者利用 Google 搜索結(jié)果，通過 SEO 惡意廣告和 SERP 中毒來分發(fā) Zeus Panda 銀行木馬。

參考來源：HackRead