Mac系统恶意软件现状
2018-09-10朱荣
朱荣
相对于Windows系統来说,Mac系统以其安全性而著称。因此,也有许多的Mac用户认为他们并不需要什么安全杀毒软件。但事实真的是如此吗?其实不然,这些年来随着Mac用户的增多,专门针对Mac系统的病毒软件、流氓软件也逐渐的多了起来。不要忘了世界上的第一个计算机病毒Elk Cloner,就是在一台苹果计算机上被制造的。
2018年,Mac恶意软件的现状发生了改变,越来越多的威胁针对这些所谓的高安全性机器。目前已经发现了四个针对Mac的新威胁出现。其中OSX.MaMi,它会更改受害者机器的DNS设置,并且即使用户发现了也无法将其更改回来。另外,它还会在keychain中安装一个新的受信任的根证书。
这两个举动,对于计算机用户来说是非常危险的。黑客可以通过该操作,将计算机的DNS查找重定向到恶意服务器上,将流量导向合法网站(例如银行网站,亚马逊和Apple的iCloud/Apple ID服务),并将其引导至恶意钓鱼站点。新增证书可用于执行“中间人”攻击,这些钓鱼网站看起来似乎是合法的。
因此我们可以判断该恶意软件的目的是盗取用户的凭据,但具体哪些网站是它的针对目标目前不得而知。
第二个恶意软件是通过Lookout发表的一份针对国家级恶意软件Dark Caracal的研究报告中发现的。该报告提到了一种新的跨平台RAT(远程访问工具,或后门)CrossRAT,它能够感染Mac以及其他系统。这种以Java编写的恶意软件,为受感染的Mac系统提供了一些基本的远程后门访问。虽然不是很完善,但目前该恶意软件的版本显示为0.1,这很可能表明它仍处于开发的初期阶段。
虽然Mac不再使用预装的Java,但对于这类高度定制化目标明确的恶意软件,我们往往防不胜防。
下一个恶意软件被命名为OSX.CreativeUpdate,最初是通过MacUpdate网站的供应链攻击被发现的。黑客通过对MacUpdate网站的下载链接恶意修改,使其指向由黑客控制的恶意软件URL。一些流行的Mac应用程序(包括Firefox)的下载链接也都被恶意链接所取代。
正如Panic公司在“源代码盗取案例”中记录的那样,这类供应链攻击是非常危险的,即便是一些经验丰富的专业人员也难于幸免。
从MacUpdate下载受影响应用程序的用户,最终会看到类似的恶意应用程序。这些应用程序会与合法应用程序捆绑,并偷偷的在受害者机器上安装恶意软件。
恶意软件一旦被成功安装,受害者计算机的CPU就会被黑客所操作,成为黑客手中挖掘Monero加密货币的傀儡机。这会导致我们的电脑运行速度变慢,风扇也会转的很厉害。时间久了,电脑的性能将受到极大的影响,如电池寿命缩短,用电量增加,甚至可能导致计算机过热并损坏硬件。
最新的恶意软件OSX.Coldroot是一个通用后门,它提供了典型的后门程序对系统的所有常见访问。然而,在新版系统(macOS 10.11,又名El Capitan或更高版本)中,该恶意软件在某些方面的安装将会失败,并且由于设计的缺陷,在某些系统上完全无法安装。这个恶意软件似乎不是很大的威胁,但这也只是相对的,在可被正确安装的系统上它的危害不可小觑。
这些只是最近的一些例子。让我们来通过数据感受下Mac恶意软件的发展趋势。在2016年到2017年间,Mac恶意软件增长了270%以上。2017年就出现了许多新的后门,例如臭名昭着的Fruitfly,用于捕获个人数据,甚至还被用来生成儿童色情内容。
这并没有阻止日益增长的广告软件和PUP威胁。这些类型的威胁在过去几年中已经普遍存在,甚至已经侵入到了Mac App Store、App Store中的某些类别的软件几乎完全是不可信。
但许多Mac用户并没有意识到问题的存在及严重性。有人仍然认为“Mac电脑不会感染病毒”,即没有完全符合严格定义的“Mac病毒”。还有一些人甚至认为Mac是无懈可击的。比如说,“Mac被沙盒包装,所以它们不会被感染。”
这种错误的观点,导致许多Mac用户并没有有效的防护措施来阻止恶意软件,更不用说广告软件和PUP所带来的常见的威胁。更糟糕的是,由于安全意识的缺失,在对待Windows系统时他们也忽视了威胁的存在。
苹果公司的macOS包含了一些实用的安全功能,但它们很容易被新的恶意软件所绕过,而且它们也根本无法解决广告软件和PUP的问题。不是每个人都想在自己的Mac上运行杀毒软件,但如果你正在为此烦恼,那么Malwarebytes for Mac可以提供帮助。商业用户也可以从Malwarebytes Endpoint Protection获得类似级别的保护。