外媒記者發現了暗網存在針對蘋果産品的一種新威脅,即macspy遠端通路木馬。線上服務bleeping computer的記者發現了暗網上存在一種針對蘋果産品的新威脅。經過努力,alienvault的研究員擷取了macspy這一新程式的一個副本,稱其為迄今為止mac os-x作業系統的最複雜惡意軟體。
實際上,黑客在暗網上免費提供macspy,并不出售。該軟體結合黑客提供的tor門戶,可使使用者入侵目标mac計算機,擷取監測資訊。
該惡意軟體的作者稱,他們因注意到到蘋果産品廣受青睐而開發了該軟體。看來蘋果産品的人氣持續走高促使黑客開發了此款遠端通路木馬。macspy惡意軟體的免費版用于監控蘋果使用者,記錄mac系統中的資料,然後秘密地将其發送給發動攻擊的控制器。macspy可擷取螢幕截圖,内嵌keylogger軟體。此外,macspy也可擷取icloud同步資料如照片,提供語音錄制檢測,提取剪貼闆内容,并下載下傳遊覽器資訊。
macspy的開發者為客戶提供一款具備更強大功能的付費版本,這與目前的軟體提供商十分類似。macspy的付費版的很多功能與中央情報局(cia)開發的程式(維基解密“vault 7”(第七号保險庫)中揭示的程式)類似。遠端控制器可悄無聲息地更新該木馬程式,提取任何檔案,加密整個使用者目錄,提供整個被感染系統的預定轉儲資訊,提取社交媒體和郵件資料進行監測。
alienvault表示,macspy程式目前“沒有被任何防毒軟體公司或産品發現”。該程式也提供讓使用者無法分析、調試并了解其操作的特性。這種反分析設計包含對cpu晶片的一系列硬體檢查,確定該程式不在虛拟模式或需要檢查的最小“沙箱”中執行。該程式同時調用蘋果的包含合理選項的ptrace函數,防止調試器連接配接至該程序。
一旦系統繞過反分析特性,就會自動安裝,悄悄删除安裝檔案,連接配接至tor代理,進而啟動資料監測過程。macspy并未将其包含在啟動檔案中,是以系統在每次root開始時會重建tor代理連結。
macspy會通過tor代理發送post請求,傳輸收集的資料,然後針對其從所感染的目标系統中竊取的標明資料,重複發送post指令。一旦完成下載下傳,該惡意軟體會對其所發送的資料中包含的臨時檔案進行檢測。
macspy這個惡意軟體也有積極的一面。此惡意軟體的很多代碼似乎是由開發者從面向程式員的棧溢出網站上拷貝而來。此外,macspy的有效payload并未進行數字簽名,可能會在合理配置的mac作業系統上觸發告警。
然而,alienvault表示,macspy惡意軟體的出現預示着蘋果使用者的未來處境恐怕不妙。 alienvault 在分析 macspy木馬時指出
“ 人們一般認為使用 mac 系統是相對安全的 ,不會感染惡意軟體。”。 “一直以來,這種說法沒有問題,而随着時間的推移,針對于mac的惡意軟體的種類越來越繁雜,名稱也五花八門,蘋果産品相對安全這種說法越來越站不住腳了。”
原文釋出時間:2017年6月15日
本文由:securityaffairs釋出,版權歸屬于原作者
原文連結:http://toutiao.secjia.com/mac-malware-macspy
本文來自雲栖社群合作夥伴安全加,了解相關資訊可以關注安全加網站
![“雲管邊端”協同的邊緣計算安全防護解決方案0 引 言1 5G 及邊緣計算2 邊緣計算面臨的風險3 “雲管邊端”安全防護技術4 “雲管邊端”安全防護實踐5 結 語[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)