- A+
一种新的恶意软件正在瞄准具有新策略的Mac,以嗅出防病毒和虚拟机。
以前从未见过的Mac恶意软件,被称为OSX / CrescentCore,已在野外被发现。 在伪装成Adobe Flash Player安装程序的各种网站上发现的该木马在下载时会删除受害者系统上的恶意应用程序和浏览器扩展。
OSX / CrescentCore通过各种网站传播,伪装成Adobe Flash Player安装程序。 但是,“安装程序”实际上是一个传递恶意软件的.dmg文件(Apple磁盘映像)。
“OSX / CrescentCore的一个变种被观察到丢失了可能不需要的应用程序,流氓软件如OSX / AMC('Advanced Mac Cleaner'的缩写”),“Intego的Intehua周二告诉Threatpost。 “OSX / CrescentCore的另一个变种试图安装恶意Safari浏览器扩展。”
这些恶意软件是由研究人员通过众多网站发布的 - 其中一些网站出现在Google搜索结果中。 其中一个名为“GetComics”的网站声称可以免费分享新漫画书的数字副本。
恶意软件也通过高级谷歌搜索结果传播,观察到用户将用户重定向到多个网站。
“我们实际上正在为CrescentCore提供一个名称,并在引号中搜索'CrescentCore',搜索结果首页中的一个链接重定向到恰好分发新样本的页面CrescentCore,“龙说。
该研究人员表示,恶意软件分销商经常会发现易受攻击的博客或其他网站具有较高的谷歌搜索引擎排名,并添加一个重定向机制,通过一些联盟链接反弹 - 最终将用户重定向到虚假的Flash Player登陆页面。 
“因此,如果以前几乎未使用的单词如CrescentCore的结果恰好出现在搜索结果中,那么其他搜索结果也很可能会因为重定向此恶意软件而中毒,”他说。
在进一步研究这些搜索结果后,研究人员发现一个页面(托管在大量域中的任何一个)上显示了一个Adobe Flash Player更新警告弹出窗口。 单击时,此弹出窗口分发新的OSX / CrescentCore恶意软件或以前发现的OSX / Shlayer恶意软件。
然而,“与典型的,日常的假冒Flash Player更新程序不同,OSX / CrescentCore具有一些额外的功能,以使防病毒软件更难以检测,并且恶意软件分析师更难以检查和反向工程”,根据Intego的分析上周公布。
下载后,恶意软件会发布高级功能,允许它进行检测,包括能够嗅出它是否在虚拟机环境中运行(检查计算机是否存在恶意软件)或者计算机上是否存在防病毒软件 - 如果有的话确定后,它会简单地关闭。
“恶意软件分析师经常检查虚拟机内的恶意软件,以避免在处理危险文件时无意中感染自己的计算机,因此恶意软件作者有时会实施虚拟机检测并采取不同的行为,使分析恶意软件的行为变得更加困难,”研究人员表示。
如果两者都未被检测到,则恶意软件将安装LaunchAgent,这有助于它在受感染的计算机上进一步实现持久性。 LaunchAgent是一个可以安装在Macs库文件夹中的文件夹,用于指定每次用户登录时应运行的代码,恶意软件通常会利用它来实现对macOS的持久性。
恶意软件使用多个Apple Developer ID进行签名,这些ID已经注册给名为Sanela Lovic的人; 研究人员称,到目前为止已知的标识符包括5UA7HW48Y7和D4AYX8GHJS。
该恶意软件只是针对Mac系统发现的最新版本。 上周 ,研究人员表示他们已经发现了前所未见的Mac恶意软件样本(OSX / Linker),他们认为这些样本是针对MacOS操作系统中最近披露的漏洞而开发的。 5月,macOS安全功能Gatekeeper中披露了一个错误 ,该错误允许在运行最新版Mojave(10.14.0)的系统上执行恶意代码。
“Mac恶意软件开发人员正在变得更加聪明,试图让他们更难以发现他们软件的恶意性质,”Long说。 “正如我们通过OSX / Linker了解到的那样,Mac恶意软件制造商也正在试验绕过Apple内置保护机制的新方法,甚至尝试使用零日漏洞来实现这一目标。”
