网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

sentinelone 的研究人员对 macOS 恶意软件的 2022 年审查显示，运行 macOS 终端的企业和用户面临的攻击包括后门和跨平台攻击框架的增加。像 CrateDepression 和 PyMafka 这样的攻击使用对包存储库的错别字攻击来攻击用户，而 ChromeLoader 和 oRAT 等其他威胁则利用错别字作为攻击载体。

然而，许多其他 macOS 攻击所使用的攻击载体仍然未知，比如 SysJoker（新型恶意软件正对 Windows、Linux 和 macOS 操作系统构成威胁 , 可利用跨平台后门来从事间谍活动），  OSX.Gimmick，CloudMensis、Alchemist 和 lazarus 的 Operation In ( ter ) ception，研究人员在分析中偶然发现了恶意软件，或者在 VirusTotal 等恶意软件存储库中发现了样本。

1. 免费内容的诱惑

有大量的 macOS 恶意软件通过免费内容下载网站传播，如 torrent 网站、共享软件网站、破解的应用程序网站或免费的第三方应用程序分发网站。

此 torrent 文件实用程序下载一个广告软件安装程序

内容诱饵包括：

破解软件；

体育直播网站；

vpn、" 隐私 " 广告和地理围栏规避；

电影、电视、游戏和音乐下载网站，DRM 规避；

色情和性服务网站。

免费内容诱饵主要用于驱动广告软件和捆绑包（  bundleware）攻击，但像 LoudMiner 这样的挖矿软件也以这种方式传播。

最常见的情况是向用户提供免费或破解版本的应用程序，用户开始下载一个据称包含该应用程序的磁盘映像文件，但在安装时发现它被称为 "Flash Player"、"AdobeFlashPlayer" 之类的文件。这些文件通常是无签名的，用户会得到关于如何重写 macOS Gatekeeper 以启动它们的说明。

破解版 Adobe Photoshop 的诱饵会导致用户安装恶意程序

如上图所示，这是 Finder 中的一个简单技巧，即使是非管理员用户也可以使用它来击败 Mac 内置的安全机制。

最近发现一些攻击者引导终端用户重写其中的 Gatekeeper，可能是为了解决组织管理员可能通过 MDM（移动设备管理）部署的任何附加安全控制。

一些用户开始寻找合法内容，但却被广告和令人难以置信的交易和优惠拉进了恶意网站。不过，Mac 用户普遍认为，浏览此类链接本身并不危险，因为他们认为 Mac 是安全的、不会被病毒攻击。然而，这些网站的性质，以及坚持使用弹出窗口、误导性图标和重定向链接，会迅速将用户从安全的搜索诱导至危险的下载。

虽然 "Flash Player" 诱饵主要用于广告软件和捆绑软件活动。其他大量利用这一载体的活动包括 OSX.Shlayer,，Pirrit 和   Bundlore。安全供应商可以很好地检测到这些攻击，但苹果内置的基于签名的检测技术 XProtect 往往会忽略这些攻击。

缓解措施包括：

通过 MDM/ 安全产品的应用程序允许 / 拒绝列表控制与软件下载 / 启动相关的权限；

通过 MDM 解决方案或安全产品限制对终端的访问；

限制或阻止使用安全产品执行未签名代码；

使用终端保护软件防止和检测已知恶意软件。

2. 向 Mac 用户发布恶意广告

恶意网页广告可以在用户的浏览器中运行隐藏代码，将受害者重定向到显示虚假软件更新或病毒扫描警告的弹出窗口的网站。在过去的 12 个月中，已知的针对 macOS 用户的恶意广告活动包括 ChromeLoader 和 oRAT。

ChromeLoader 也被称为 Choziosi Loader 或 ChromeBack，采用恶意 Chrome 扩展的形式，劫持用户的搜索引擎查询，安装侦听器拦截传出的浏览器流量，并向受害者提供广告软件。

oRAT 是一个用 Go 编写的后门植入程序，以未签名的磁盘映像（.dmg）的形式下载到受害者的计算机上，伪装成 Bitget 应用程序的集合。磁盘映像包含一个含有名为 Bitget Apps.pkg   的包以及 com.adobe.pkg.Bitget 传播标识符。

加密的数据块被附加到包含配置数据（如 C2 IP 地址）的恶意二进制文件中。

oRAT 的加密 blob 和解密的纯文本

使用防火墙控制和 web 过滤器阻止对已知恶意网站的访问，在极端敏感的情况下，防火墙只能限制对有限的授权 IP 的访问；

使用广告拦截软件，广告拦截程序可以阻止大多数广告的显示，但这可能会影响性能和对某些资源的访问；

部署终端保护软件以防止和检测通过恶意广告传播的恶意代码。

3. 对开发者的攻击