蘋(píng)果MacOS惡意軟件借破解版安裝包獲取用戶信息

蘋(píng)果生態(tài)體系內(nèi)部分優(yōu)質(zhì)軟件需收費(fèi)使用，導(dǎo)致消費(fèi)者在網(wǎng)上尋找破解版，然而此類(lèi)破解版軟件可能潛藏風(fēng)險(xiǎn)。近期，據(jù)卡巴斯基安全實(shí)驗(yàn)室披露，已偵測(cè)到一類(lèi)新型MacOS惡意軟件，這類(lèi)惡意軟件通過(guò)偽裝成免費(fèi)破解版安裝包實(shí)現(xiàn)攻擊，盜取用戶敏感信息。

聰明的犯罪分子通常會(huì)提供一個(gè)名為“Activator”的程序及所需安裝的應(yīng)用軟件。偽造的安裝程序不會(huì)直接運(yùn)行，轉(zhuǎn)而呈現(xiàn)詳細(xì)的說(shuō)明指導(dǎo)用戶提取應(yīng)用至/Applications/，并啟動(dòng)Activator。本應(yīng)引起警覺(jué)的管理員權(quán)限提示框卻因常見(jiàn)，使消費(fèi)者難以察覺(jué)問(wèn)題，從而輕易讓攻擊者獲取更多管理權(quán)。

啟動(dòng)Activator后，程序會(huì)檢查系統(tǒng)是否安裝Python 3，若未安裝則自動(dòng)安裝，整個(gè)過(guò)程偽裝成程序升級(jí)修護(hù)。接下來(lái)，它將安裝程序中修改的內(nèi)容恢復(fù)正常，以便成功安裝。更危險(xiǎn)的是，它還會(huì)生成一個(gè)C2 URL（連接控制服務(wù)器的統(tǒng)一資源定位符）。這一URL會(huì)喚醒DNS服務(wù)器，讓其下載含有惡意Python腳本的TXT記錄。

該惡意腳本可建立后門(mén)、收集各類(lèi)數(shù)據(jù)，如用戶操作系統(tǒng)版本、已安裝應(yīng)用程序、CPU型號(hào)和外部IP地址等，甚至修改系統(tǒng)文件，保證自身在重啟系統(tǒng)后仍能有效運(yùn)作，讓攻擊者隨時(shí)能夠更新惡意腳本。借助管理員權(quán)限，此惡意程序可以執(zhí)行任意腳本，如擅自取代用戶的比特幣核心和Exodus錢(qián)包，由此竊取用戶財(cái)產(chǎn)。