對(duì)于計(jì)算機(jī)用戶(hù)來(lái)說(shuō)，Apple公司的產(chǎn)品一直要比Windows產(chǎn)品更加安全一些。但隨著Apple的市場(chǎng)份額不斷增加，用戶(hù)基數(shù)不斷增長(zhǎng)，針對(duì)macOS的惡意軟件威脅也變得越來(lái)越普遍和復(fù)雜。而且，有許多macOS威脅采用的感染途徑仍然不為人知，研究人員只能通過(guò)一些偶然的機(jī)會(huì)發(fā)現(xiàn)惡意軟件，或者在VirusTotal等惡意軟件存儲(chǔ)庫(kù)中發(fā)現(xiàn)樣本。

為了幫助企業(yè)組織更安全地應(yīng)用macOS系統(tǒng)，本文收集整理了安全研究人員重點(diǎn)關(guān)注的6種典型macOS環(huán)境下惡意軟件威脅。

01BlueNoroff  RustBucket

從2022年12月開(kāi)始，BlueNoroff 威脅團(tuán)伙（隸屬更廣泛的Lazarus勒索軟件組織）開(kāi)始使用一種名為RustBucket的macOS版惡意軟件，攻擊全球各地的目標(biāo)組織。該惡意軟件的出現(xiàn)，標(biāo)志著這個(gè)臭名昭著的惡意團(tuán)伙正式開(kāi)始涉足macOS領(lǐng)域，也表明攻擊者開(kāi)始更多地使用Go語(yǔ)言之類(lèi)軟件開(kāi)發(fā)平臺(tái)研發(fā)惡意軟件。

Jamf 威脅實(shí)驗(yàn)室的安全分析師首先觀察到BlueNoroff RustBucket惡意軟件在受害者系統(tǒng)上投放和執(zhí)行各種攻擊載荷，并于今年4月首次公開(kāi)披露了該惡意軟件的攻擊模式，其中第一階段組件多為被植入后門(mén)但運(yùn)行完全正常的PDF閱讀器，該組件可以連接到遠(yuǎn)程指揮和控制（C2）服務(wù)器，并安裝另外的第二階段攻擊載荷，以便從受害者系統(tǒng)收集特定信息將發(fā)回給攻擊者。BlueNoroff RustBucket惡意軟件的危害性不僅僅在于軟件本身，還在于其攻擊中采用了大量的社會(huì)工程伎倆。而且，這種惡意軟件威脅還同時(shí)針對(duì)Windows用戶(hù)。

02macOS版LockBit

LockBit勒索軟件組織于2019年首次被發(fā)現(xiàn)，由于其不斷采用新的策略、技術(shù)和支付方式，經(jīng)不斷發(fā)展和演變，現(xiàn)已被行業(yè)認(rèn)為是當(dāng)前“最危險(xiǎn)的惡意軟件威脅之一”。研究人員發(fā)現(xiàn)，LockBit團(tuán)伙在去年11月開(kāi)始攻擊macOS用戶(hù)，且能在受害者的macOS環(huán)境中造成與Windows 環(huán)境中同樣嚴(yán)重的破壞。網(wǎng)絡(luò)安全公司SentinelOne的研究人員表示，盡管目前還沒(méi)發(fā)現(xiàn)macOS版LockBit在廣泛肆虐的新聞報(bào)道，但很可能是Linux版LockBit的直接衍生體，其在macOS系統(tǒng)上加密和破壞數(shù)據(jù)的能力已經(jīng)被實(shí)際驗(yàn)證，而該惡意軟件的開(kāi)發(fā)者還會(huì)不斷嘗試為其增加更多的破壞功能和選項(xiàng)。

03XCSSET惡意軟件

與當(dāng)前大多數(shù)的macOS惡意軟件相比，XCSSET惡意軟件的歷史比較久遠(yuǎn)，并且仍然是目前對(duì)Mac用戶(hù)最危險(xiǎn)的威脅之一。該惡意軟件的一個(gè)顯著特點(diǎn)是它利用了三個(gè)獨(dú)立的零日漏洞，一個(gè)漏洞在未經(jīng)用戶(hù)明確許可的情況下啟用全面訪問(wèn)磁盤(pán)，第二個(gè)漏洞在未經(jīng)用戶(hù)明確許可的情況下啟用屏幕錄制權(quán)限，第三個(gè)漏洞可以轉(zhuǎn)儲(chǔ)受保護(hù)的Safari瀏覽器cookie，并執(zhí)行其他惡意瀏覽技術(shù)。

該惡意軟件的另一個(gè)獨(dú)特之處在于，它可以通過(guò)共享的Xcode項(xiàng)目來(lái)傳播。如果這些Xcode項(xiàng)目中的某個(gè)項(xiàng)目被開(kāi)發(fā)者下載并構(gòu)建，開(kāi)發(fā)者系統(tǒng)上的其他項(xiàng)目隨后也會(huì)被感染，從而導(dǎo)致類(lèi)似蠕蟲(chóng)病毒地活動(dòng)。2022年8月，SentinelOne報(bào)告又發(fā)現(xiàn)了一個(gè)新的XCSSET變種，該變種通過(guò)虛假的Mail應(yīng)用程序和虛假的Notes應(yīng)用程序來(lái)傳播，而不是像最初那樣通過(guò)Xcode項(xiàng)目來(lái)傳播。

04Atomic macOS Stealer（AMOS）

Atomic macOS Stealer（AMOS）又叫Atomic Stealer，是所有Mac用戶(hù)需要高度重視的惡意軟件威脅，主要針對(duì)macOS系統(tǒng)進(jìn)行敏感信息和數(shù)據(jù)的竊取。

AMOS在功能上與其他針對(duì)macOS的信息竊取器沒(méi)有太大區(qū)別。但是它已變成一種線上服務(wù)化的工具，網(wǎng)絡(luò)犯罪分子可以經(jīng)由犯罪論壇和專(zhuān)用的Telegram頻道獲得MaaS模式的AMOS服務(wù)。該惡意軟件能夠竊取密碼會(huì)話(huà)cookie、瀏覽器數(shù)據(jù)、自動(dòng)填充信息以及Electrum、Binance和Exodus等加密貨幣錢(qián)包。盡管Pureland和Macstealer等其他信息竊取器也可以提供類(lèi)似功能，但AMOS擁有最完整的攻擊工具包，可以向各類(lèi)網(wǎng)絡(luò)犯罪分子提供功能完備的針對(duì)macOS系統(tǒng)的信息竊取服務(wù)。

05MacStealer惡意軟件

MacStealer惡意軟件可以從macOS系統(tǒng)上運(yùn)行的Firefox、Bravo和Google Chrome等瀏覽器中竊取憑據(jù)、cookie、信用卡資料及其他敏感數(shù)據(jù)。Uptycs的安全研究人員在今年早些時(shí)候首次發(fā)現(xiàn)了該威脅，可以影響自Catalina開(kāi)始的所有macOS版本。據(jù)研究人員介紹，MacStealer能夠從感染后的系統(tǒng)中提取眾多文件，包括“.txt”“.doc”“.pdf”“.xls”“.ppt”和“.zip”。需要特別提醒的是，由于該惡意軟件的開(kāi)發(fā)者通過(guò)惡意軟件即服務(wù)（MaaS）模式來(lái)分發(fā)軟件，并且不斷接到各種非法團(tuán)伙提出的定制化生產(chǎn)訂單。因此，該惡意軟件的傳播范圍與危害性仍然會(huì)進(jìn)一步蔓延。

063CX供應(yīng)鏈攻擊

今年3月，安全研究人員發(fā)現(xiàn)一種新型macOS版惡意軟件，會(huì)隨著視頻會(huì)議軟件開(kāi)發(fā)商3CX的流行應(yīng)用軟件更新版本一同分發(fā)，并且給受害用戶(hù)造成巨大的損失和危害。據(jù)了解，隸屬Lazarus高級(jí)持續(xù)性威脅（APT）組織的一個(gè)攻擊小組非法進(jìn)入了3CX的軟件構(gòu)建環(huán)境，并將這種惡意軟件引入到了macOS版3CX Electron桌面應(yīng)用程序的安裝程序中，由于使用了由Sectigo頒發(fā)和DigiCert加蓋時(shí)間戳的合法3CX Ltd證書(shū)，該惡意軟件在安裝時(shí)具有較大的欺騙性，很難被使用者識(shí)別。

受影響的安裝包內(nèi)包含了兩個(gè)惡意DLL文件：ffmpeg.dll和d3dcompiler_47.dll。ffmpeg.dll會(huì)在用戶(hù)安裝時(shí)被加載，并從d3dcompiler_47.DLL中進(jìn)一步加載和執(zhí)行payload進(jìn)行系統(tǒng)信息收集。攻擊者可利用惡意文件從Chrome、Edge、Brave和Firefox用戶(hù)配置文件中竊取用戶(hù)數(shù)據(jù)和敏感憑據(jù)等，導(dǎo)致用戶(hù)敏感信息泄露。

參考鏈接：https://www.darkreading.com/endpoint/top-macos-malware-threats-proliferate