频道栏目
首页 > 安全 > 网络安全 > 正文
这款可能来自伊朗的Mac恶意程序,已经在针对美国国防工业了
2017-02-15 09:38:10           
收藏   我要投稿

这款可能来自伊朗的Mac恶意程序,已经在针对美国国防工业了。近期,研究人员发现了一款针对美国国防工业的macOS恶意软件,该恶意软件名叫MacDownloader,有一位人权倡导者还公开表示他曾受到过MacDownloader的攻击。MacDownloader会伪装成AdobeFlash和Bitdefender Adware Removal Tool的安装程序,感染成功后会尝试提取目标系统信息以及OSX的keychain数据库。在对受感染的基础设施以及恶意代码进行了观察和分析之后,我们认为此次事件是这款恶意软件第一次真正试图感染目标设备,而且代码中类似“持久性感染”这样的功能也无法正常工作。

\

MacDownloader目前只是一款简单的数据提取工具,但它的野心肯定不仅于此。MacDownloader感染目标主机所使用的方法与ExtremDownloader的方法十分相似,而且研究人员在对恶意软件样本的代码进行了分析之后发现,这款恶意软件很可能与某个长期潜伏着的威胁组织有关。

虽然我们在美国的BlackHat黑客大会上曾对伊朗主导的网络战争进行过技术论述,而且相关论文【传送门】也正准备出版,但我们仍然会继续披露当前伊朗黑客的一些网络活动,并以此来积极推广网络安全教育,然后向安全厂商提供更多的IOC(入侵检测指标)。

虽然这款恶意软件不算复杂,功能也并不丰富,但它的突然出现肯定会给Mac用户带来不小的担忧。随着苹果电脑的用户数量越来越多,针对macOS的恶意软件数量很有可能也会随之上涨,macOS的安全性已经成为了一个未知数。

背景

自从“伊朗网络威胁论”被曝光之后,我们也检测到了各种各样出自伊朗黑客之手的恶意软件,这些恶意软件普遍针对的是Windows和Android设备,目的是为了从目标设备中提取文件或记录用户键盘数据。虽然Windows仍是目前世界上使用人数最多的操作系统,但很多用户出于安全性和稳定性的考虑,已经开始慢慢转移到macOS平台了。但实际上,macOS用户的安全性远远没有他们想象得那么高,而且他们的安全状况甚至比Windows用户的还要糟糕,专注伊朗问题的人权团体就是一个很好的例子。

事件及其影响

关于MacDownloader的一切起源于一个钓鱼网站,这个网站冒充的是美国联合技术公司(UTC)的官方网站,安全专家此前曾认定这个钓鱼网站是伊朗黑客专门用来传播Windows恶意软件的,而研究人员发现MacDownloader也与这个网站有关,这也是我们首次检测到MacDownloader。该钓鱼网站声称可以提供一些“特殊培训课程”,并专门提到了洛克希德马丁公司、内华达山脉公司、雷神公司和波音公司的实习生岗位。

\

托管该网站的主机在此之前还曾用其子域名托管过浏览器攻击框架BeEF,当时网站伪装成的是一个牙科网站和美国空军培训网站。

\
\

我们可以看到,钓鱼网站用法语提示了用户:该插件可能存在安全问题,并在警告文字的下方提供了一个可以激活AdobeFlash插件的链接。在我们所观察到的恶意软件中,MacDownloader也是第一个如此诚实的恶意软件。当用户上钩之后,远程服务器会根据检测到的目标系统信息来发送Windows或Mac端的恶意软件,其中Windows平台的dropper是采用Go语言编写的。MacDownloader样本的数据包名称“addone flashplayer.app”也进一步证明了它来自伊朗,因为根据语法来看,这个文件名应该是一个说波斯语的人设置的。

\

Macdownloader

根据恶意代码中嵌入的字符串信息来看,此次攻击中的恶意软件是一款针对macOS平台的dropper,即Macdownloader。对代码进行了分析之后,研究人员发现Macdownloader创建于2016年底,其代码不仅写得非常乱,而且很多代码是从其他地方复制过来的,所以我们认为Macdownloader应该出自一位业余开发者之手。

研究人员认为,MacDownloader当前的主要目的是为了对受感染系统进行初步分析并提取一些系统数据,例如macOS的Keychain凭证。

点击复制链接 与好友分享!回本站首页
上一篇:FBI网络小组前成员解读:黑客为何会成为赢家
下一篇:低功耗广域物联网(LPWAN-IOT)安全技术研究
相关文章
图文推荐
点击排行

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站