苹果系统的寒冬!新LamePyre MacOS恶意软件袭来

苹果系统的寒冬!新LamePyre MacOS恶意软件袭来

长期以来都有这样的说法:Mac OS系统与其他平台的不同之处便是前者能够抵御各种恶意软件,相比而言,Windows PC则成为了恶意软件的重灾区。然而就在近几年,入侵Mac平台的恶意软件数量却急剧增加。

最近,安全研究人员发现市面上又出现了一款针对macOS系统的新恶意软件,看起来就像一个仍在开发中的简单版本。它的功能仅限于截取屏幕截图和运行后门程序,研究人员将这款恶意软件命名为OSX.LamePyre。

上周五,网络安全公司Malwarebytes的威胁研究员Adam Thomas发现该恶意软件伪装成为游戏玩家服务的Discord消息传递应用程序的副本。当时他发现该恶意软件仍处于潜伏阶段:“这个Discord副本似乎什么也没做,因为它实际上是一个Automator脚本,对用户没有任何作用。”

只有一个通用Automator图标

当LamePyre在系统上运行时,用户会在菜单栏中看到通用的Automator图标,这对于任何此类脚本都是常见的。该脚本会解码一个以Python编写的有效负载并在受感染的设备上运行。然后进行屏幕截图并将这些截图上传到攻击者的命令和控制(C2)服务器。

苹果系统的寒冬!新LamePyre MacOS恶意软件袭来

用于解码Python有效负载的LamePyre Automator脚本

Thomas注意到Python代码的一部分是为了在系统上设置开源EmPyre后门而编写的。这个特殊的后门已经出现在针对macOS的另一款恶意软件DarthMiner中,它集成了各种加密货币挖矿功能。

LamePyre看起来像是一款正在开发的半成品威胁软件,因为它不包括作为合法Discord消息传递应用程序的功能。根据Malwarebytes的解释,“它不是在Discord应用程序基础上进行恶意修改的副本,甚至不包括启动Discord应用程序的副本,尽管包装成合法的应用程序并不是一件难事。更让人哭笑不得的是,它连合法Discord应用程序的图标都懒得伪装!”

为了保证恶意代码的运行,开发人员在其代码中添加了设置一个具有欺骗性名称“com.apple.systemkeeper.plist.plist”的启动代理。

鉴于恶意软件目前并没有采取实质性的攻击行为,用户很可能不会那么快意识到有什么地方不对劲。然而,LamePyre大概率已经打开后门并向攻击者提供了一些屏幕截图。

12月——macOS恶意软件的“狂欢节”

本月已经在macOS恶意软件方面发现了大量活动,目前已经发现了另外两款针对macOS系统的恶意软件:DarthMiner和OSX.BadWord

其中DarthMiner通过盗版Adobe Zii软件进行分发,它结合了两种不同的开源工具——EmPyre后门和XMRig加密矿工——用于恶意盗用Adobe的多个应用程序。而让人大跌眼镜的是,DarthMiner开发人员竟然错误地使用Adobe Creative Cloud图标而非Adobe Zii图标,这才引起了多方怀疑。

另一个针对macOS系统的威胁是OSX.BadWord,同样由Malwarebytes命名,是被Microsoft威胁情报中心的工程师John Lambert发现的。

苹果系统的寒冬!新LamePyre MacOS恶意软件袭来

它是通过Microsoft Word文档中的恶意宏传递的,该文档利用一个沙箱逃逸漏洞创建启动代理,以支持设置Meterpreter后门以访问系统的Python脚本的持久性。

尽管看起来很有趣,但OSX.BadWord并不是“原创作品”,而是MDSec公司研究员AdamChester于今年2月发布的概念验证代码的“复制品”。不同之处在于后门的选择,因为Chester提到Empire是处理macOS终端的可能工具。

除此之外,恶意软件开发人员也的确“懒到家”了,他们在恶意软件的代码中甚至没有删去Chester博客的标识符。或者我们也可以戏谑的认为,他们这么做可能也是尊重Chester的“版权”?

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/133374.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code