新的 Mac 恶意软件通过搜索结果传播——你需要知道的

在中国发现了一种通过“中毒”搜索引擎结果传播的新 Mac 恶意软件,并可能传播到其他国家。

为确保您没有被此类事情感染,请非常小心您下载的内容,并使用最好的 Mac 防病毒程序之一扫描每个下载的文件。 您还应该尽可能多地从 Mac App Store 获取您的软件,并警惕其他来源。

适用于 iPhone、Mac 和 Apple Watch 的 Apple 紧急更新——该怎么做最好的 Mac 防病毒软件加: iPhone 13 发布日期、价格、规格和最新消息

正如 Mac 安全研究员所详述 帕特里克·沃德尔 在本周早些时候的一篇博客文章中,他称之为 ZuRu 的恶意软件是由中国研究员 Shi(又名 ChiChou,又名 ChiChou)发布的。 @CodeColorist. 早在 6 月份,Zhi 就帮助弄明白了为什么某些 Wi-Fi 网络名称会禁用 iPhone。

这一次,志在宣传一个 中国用户的博文 谁发现在中文搜索引擎百度上对 Mac 应用程序 iTerm2 的查询返回了合法 iTerm2 网站的克隆。 (iTerm2 是默认 Mac 终端应用程序的免费替代品。)

查看更多

从伪造的 iTerm2 站点下载安装程序的 Mac 用户收到了该应用程序的工作副本,该应用程序通过了 Gatekeeper 检查并安装得很好,因为它由 Apple 开发人员进行了数字“签名”,并且没有被任何防病毒软件标记为恶意软件.

伪造的应用程序没有通过额外的安全徽章进行“公证”,Apple 授予其已验证为值得信赖的应用程序。 (真正的 iTerm2 应用程序是经过公证的。)但即使 Mac 会通知用户应用程序尚未经过公证,用户仍然可以选择安装它。

假的 iTerm2 应用程序中有一些额外的东西 – 一个“下载器”,它本身可以连接到在线服务器并安装至少两种以上的恶意软件。

间谍软件和可能的后门

两个新的恶意软件之一是信息窃取器,它分析运行它的 Mac,窃取用户的钥匙串数据库(包含密码和其他敏感数据),并将所有数据打包在一个 Zip 文件中,然后将其发送回下载信息窃取程序的同一服务器。

另一个恶意软件伪装成 Google 更新应用程序,并从不同的服务器下载。 Wardle 无法完全剖析这个恶意软件,所以他不太确定它的作用。

但是他发现它所在的服务器被标记为托管 Cobalt Strike 的盗版副本,这是一种合法的渗透测试工具,犯罪分子已经破解并重新用于非法手段。

正如 Wardle 所指出的,这个神秘的假 Google 更新可能实际上是 Cobalt Strike 的“信标”,该程序会在系统上创建隐藏的后门,供其他 Cobalt Strike 用户找到。

有一点好消息。 Apple 已撤销用于签署假 iTerm2 安装程序的开发者证书,假 iTerm2 站点现已离线,百度已从其搜索引擎中删除了中毒结果,大约十几个最好的 Mac 防病毒程序现在将假安装程序识别为恶意软件。

但是,这背后的犯罪分子无需花费太多时间就可以将他们的方法复制到另一个网站、另一个损坏的 Mac 应用程序和另一个 Mac 开发人员许可证,只需 99 美元。

阅读更多: 我们对 Mac Mini 2021 的了解今天最好的 Apple MacBook Air 优惠421 条亚马逊客户评论☆☆☆☆☆13 英寸 MacBook Air – 银色苹果999 美元13 英寸 MacBook Air – 金色苹果999 美元13 英寸 MacBook Air – 太空…苹果999 美元低库存降价Apple 13.3″ MacBook Air 套装沃尔玛1,807.42 美元1,204.95 美元显示更多优惠我们每天检查超过 2.5 亿件产品以获得最优惠的价格新的 Mac 恶意软件通过搜索结果传播——你需要知道的 1