一种新型 macOS 恶意软件链近期被发现,该恶意软件通过分阶段脚本、凭据窃取诱饵程序及持久化 Go 语言后门,实现绕过用户防护机制、伪装恶意行为并长期控制受感染系统的攻击目标。
根据 Jamf 威胁实验室(Jamf Threat Labs)发布的最新安全公告,该攻击活动包含一个第二阶段 shell 脚本,其核心功能为重构下载路径,并根据目标系统的芯片类型(arm64 架构或 Intel 芯片)获取对应负载。
网络安全研究人员指出,该脚本会先下载包含下一阶段加载器的压缩包,将其解压至临时目录,随后在后台启动该组件。同时,脚本通过写入 LaunchAgent(macOS 系统启动代理)实现持久化,强制加载器在用户登录时自动运行。Jamf 实验室透露,脚本执行后会启动一个伪装应用,模仿 Chrome 浏览器的权限请求弹窗,最终显示一个 Chrome 风格的密码输入窗口,以此窃取用户凭据。
该伪装程序会将窃取的密码发送至一个 Dropbox 账户。为躲避检测,恶意软件通过拼接短字符串片段构造 Dropbox 服务器地址,随后利用合法的 Dropbox 上传 API 实现数据窃取;同时,它还会查询api.ipify.org接口以获取受害者的公网 IP 地址。
Go 语言后门的核心作用
进入第三阶段后,加载器脚本会调用一个名为 CDrivers 的恶意 Golang 项目(Go 语言开发)。该后门首先生成一个简短的设备标识符并检查重复,随后连接至硬编码的命令服务器,进入持久化命令循环,可执行以下恶意任务:
- 收集系统信息
- 上传 / 下载文件
- 执行 shell 命令
- 提取 Chrome 浏览器配置文件数据
- 触发自动凭据窃取
若执行过程中出现错误,恶意软件会回退至系统信息收集命令,暂停 5 分钟后恢复活动,避免单次故障导致攻击流程中断。
Jamf 实验室将该攻击活动归因于 FlexibleFerret 黑客组织,该组织持续优化攻击诱饵,诱导目标用户手动运行恶意脚本。
研究人员总结道:“企业应将来路不明的‘面试’评估请求及基于终端(Terminal)的‘修复’指令列为高风险事项,并确保用户知晓此类提示需立即停止操作并上报,切勿遵照执行。”
消息来源:infosecurity-magazine;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容