Mac 恶意软件涌现
最近,恶意分子正在传播诸如 Shlayer 和 Bundlore 之类的 Mac 恶意软件。
大多数用户在上网时都能够意识到需要警惕恶意站点。但是,如果是信誉良好的搜索引擎(如 Google 和 Bing)中的结果,会有很多人认为这是安全的。
事实证明,所有的搜索引擎都会存在恶意的搜索结果,比如:攻击者操纵 Google 搜索结果以诱导用户点击恶意网站并下载恶意软件。
新型恶意软件
网络安全公司 Intego 最近发现了一种新的恶意软件,该恶意软件不仅规避了苹果自身的安全设置而且在 VirusTotal 上完全无检出。该恶意软件由 Shlayer 和 Bundlore 的变体组成。
2019 年 1 月 VeryMal 使用 Shlayer感染了 Mac 设备,使用隐写术来逃避检测,并且将恶意代码嵌入广告中。
同一时期,还发现了该恶意软件通过 Adobe Flash 更新在 Mac 设备上安装 Any Search 栏以显示非法广告。除广告软件外,该恶意软件还拦截并收集浏览器数据,修改搜索结果以大量投放广告。
另一方面,Bundlore 是广告软件,自从 2015 年开始就非常活跃。不仅使用多种技术绕过 Mac 的安全机制,还从设备上收集个人数据并重定向用户到恶意站点。
利用搜索引擎
此时此刻,黑客也在使用 Google 搜索来传播恶意软件,该软件冒充 Adobe Flash Player 的更新。
例如,用户搜索 YouTube 视频的标题,然后在搜索结果中点击进入另一个页面,页面会通知其要更新 Flash Player。旁边还会提示这很重要的警告,敦促用户抓紧更新。
下载安装文件后,用户将会按说明进行安装:
安装程序启动后,会在终端运行 shell 脚本,从自嵌入、加密的 ZIP 包中提取 Mac 恶意软件包。
研究人员在文章中进一步解释了后续的步骤:Mac 应用程序启动后,将下载一个合法的,由 Adobe 签名的 Flash Player 安装程序,使这看起来是真的。但隐藏的 Mac 应用程序还可以下载任何其他 Mac 恶意软件或广告软件。
尽管 Google 尽力保证排除此类搜索结果,但是仍然难以完全清除。用户必须保持警惕,仅在信誉良好的网站上下载文件。
滥用搜索引擎很常见
犯罪分子经常会滥用搜索引擎来传播恶意软件。此前久有攻击者利用 Google Adwords 和 Google Sites伪造 Google Chrome 浏览器来传播恶意软件。
此外,2017 年也发现了攻击者利用 Google 搜索结果,通过 SEO 恶意广告和 SERP 中毒来分发 Zeus Panda 银行木马。
参考来源:HackRead
