MacOS环境下最危险的六大恶意软件威胁

对于计算机用户来说，Apple公司的产品一直要比Windows产品更加安全一些。但随着Apple的市场份额不断增加，用户基数不断增长，针对macOS的恶意软件威胁也变得越来越普遍和复杂。而且，有许多macOS威胁采用的感染途径仍然不为人知，研究人员只能通过一些偶然的机会发现恶意软件，或者在VirusTotal等恶意软件存储库中发现样本。

为了帮助企业组织更安全地应用macOS系统，本文收集整理了安全研究人员重点关注的6种典型macOS环境下恶意软件威胁。

01BlueNoroff  RustBucket

从2022年12月开始，BlueNoroff 威胁团伙（隶属更广泛的Lazarus勒索软件组织）开始使用一种名为RustBucket的macOS版恶意软件，攻击全球各地的目标组织。该恶意软件的出现，标志着这个臭名昭著的恶意团伙正式开始涉足macOS领域，也表明攻击者开始更多地使用Go语言之类软件开发平台研发恶意软件。

Jamf 威胁实验室的安全分析师首先观察到BlueNoroff RustBucket恶意软件在受害者系统上投放和执行各种攻击载荷，并于今年4月首次公开披露了该恶意软件的攻击模式，其中第一阶段组件多为被植入后门但运行完全正常的PDF阅读器，该组件可以连接到远程指挥和控制（C2）服务器，并安装另外的第二阶段攻击载荷，以便从受害者系统收集特定信息将发回给攻击者。BlueNoroff RustBucket恶意软件的危害性不仅仅在于软件本身，还在于其攻击中采用了大量的社会工程伎俩。而且，这种恶意软件威胁还同时针对Windows用户。

02macOS版LockBit

LockBit勒索软件组织于2019年首次被发现，由于其不断采用新的策略、技术和支付方式，经不断发展和演变，现已被行业认为是当前“最危险的恶意软件威胁之一”。研究人员发现，LockBit团伙在去年11月开始攻击macOS用户，且能在受害者的macOS环境中造成与Windows 环境中同样严重的破坏。网络安全公司SentinelOne的研究人员表示，尽管目前还没发现macOS版LockBit在广泛肆虐的新闻报道，但很可能是Linux版LockBit的直接衍生体，其在macOS系统上加密和破坏数据的能力已经被实际验证，而该恶意软件的开发者还会不断尝试为其增加更多的破坏功能和选项。

03XCSSET恶意软件

与当前大多数的macOS恶意软件相比，XCSSET恶意软件的历史比较久远，并且仍然是目前对Mac用户最危险的威胁之一。该恶意软件的一个显著特点是它利用了三个独立的零日漏洞，一个漏洞在未经用户明确许可的情况下启用全面访问磁盘，第二个漏洞在未经用户明确许可的情况下启用屏幕录制权限，第三个漏洞可以转储受保护的Safari浏览器cookie，并执行其他恶意浏览技术。

该恶意软件的另一个独特之处在于，它可以通过共享的Xcode项目来传播。如果这些Xcode项目中的某个项目被开发者下载并构建，开发者系统上的其他项目随后也会被感染，从而导致类似蠕虫病毒地活动。2022年8月，SentinelOne报告又发现了一个新的XCSSET变种，该变种通过虚假的Mail应用程序和虚假的Notes应用程序来传播，而不是像最初那样通过Xcode项目来传播。

04Atomic macOS Stealer（AMOS）

Atomic macOS Stealer（AMOS）又叫Atomic Stealer，是所有Mac用户需要高度重视的恶意软件威胁，主要针对macOS系统进行敏感信息和数据的窃取。

AMOS在功能上与其他针对macOS的信息窃取器没有太大区别。但是它已变成一种线上服务化的工具，网络犯罪分子可以经由犯罪论坛和专用的Telegram频道获得MaaS模式的AMOS服务。该恶意软件能够窃取密码会话cookie、浏览器数据、自动填充信息以及Electrum、Binance和Exodus等加密货币钱包。尽管Pureland和Macstealer等其他信息窃取器也可以提供类似功能，但AMOS拥有最完整的攻击工具包，可以向各类网络犯罪分子提供功能完备的针对macOS系统的信息窃取服务。

05MacStealer恶意软件

MacStealer恶意软件可以从macOS系统上运行的Firefox、Bravo和Google Chrome等浏览器中窃取凭据、cookie、信用卡资料及其他敏感数据。Uptycs的安全研究人员在今年早些时候首次发现了该威胁，可以影响自Catalina开始的所有macOS版本。据研究人员介绍，MacStealer能够从感染后的系统中提取众多文件，包括“.txt”“.doc”“.pdf”“.xls”“.ppt”和“.zip”。需要特别提醒的是，由于该恶意软件的开发者通过恶意软件即服务（MaaS）模式来分发软件，并且不断接到各种非法团伙提出的定制化生产订单。因此，该恶意软件的传播范围与危害性仍然会进一步蔓延。

063CX供应链攻击

今年3月，安全研究人员发现一种新型macOS版恶意软件，会随着视频会议软件开发商3CX的流行应用软件更新版本一同分发，并且给受害用户造成巨大的损失和危害。据了解，隶属Lazarus高级持续性威胁（APT）组织的一个攻击小组非法进入了3CX的软件构建环境，并将这种恶意软件引入到了macOS版3CX Electron桌面应用程序的安装程序中，由于使用了由Sectigo颁发和DigiCert加盖时间戳的合法3CX Ltd证书，该恶意软件在安装时具有较大的欺骗性，很难被使用者识别。

受影响的安装包内包含了两个恶意DLL文件：ffmpeg.dll和d3dcompiler_47.dll。ffmpeg.dll会在用户安装时被加载，并从d3dcompiler_47.DLL中进一步加载和执行payload进行系统信息收集。攻击者可利用恶意文件从Chrome、Edge、Brave和Firefox用户配置文件中窃取用户数据和敏感凭据等，导致用户敏感信息泄露。

参考链接：https://www.darkreading.com/endpoint/top-macos-malware-threats-proliferate