SentinelLabs 最近發佈了一份報告,指出一種新的惡意軟件專門針對使用區塊鏈技術的 Mac 用戶,例如加密貨幣用戶。根據 Huntabil.IT 的研究,襲擊者的根據地位於北韓。
這次攻擊涉及使用 AppleScript、C++ 和 Nim 編寫的可執行腳本。受害者會通過 Calendly,這是一個基於雲的 B2B 預約服務,收到會議邀請。襲擊者假冒受害者可信的聯絡人,通過 Telegram 進行聯繫。邀請中包含一個看似為“Zoom SDK 更新腳本”的鏈接,其實是下載和安裝惡意軟件的鏈接。
安裝後,該惡意軟件會收集“一般系統數據”、瀏覽器數據以及 Telegram 聊天歷史。它會收集用戶的 Mac 登錄信息、使用的 macOS 版本,以及 macOS 的 Keychain 中的密碼。SentinelLabs 亦報告指出,它會針對 Arc、Brave、Firefox、Google Chrome 和 Microsoft Edge 的數據進行攻擊,而 Safari 並未列入。
針對惡意軟件的防護
根據 SentinelLabs 的報告,這次針對使用 Calendly 和 Telegram 的區塊鏈技術的 Mac 用戶的攻擊,似乎大部分 Mac 用戶並非目標。然而,報告指出,Nim 基礎的軟件與 AppleScript 的結合是相對新穎的發展。這種組合使得惡意軟件能夠避開檢測,未來有可能被用於更大範圍的攻擊。
作為個別用戶,防範惡意軟件的最簡單方法是避免從 GitHub 等代碼庫以及其他下載網站下載軟件。Apple 會對 Mac App Store 中的軟件進行審核,這是獲取應用程序的最安全方式。如果不希望使用 Mac App Store,則應直接從開發人員及其網站購買軟件。如果堅持使用盜版軟件,則始終存在接觸惡意軟件的風險。
永遠不要打開來自未知和意外來源的電子郵件或短信中的鏈接。如果接收到的消息看似來自業務合作夥伴,檢查發件人的電子郵件地址並仔細檢查 URL。如果看到鏈接或按鈕,可以使用 Control 點擊,選擇複製鏈接,然後將其粘貼到文本編輯器中,以查看實際的 URL 並進行檢查。
Apple 通過操作系統更新發佈安全補丁,因此及時安裝它們非常重要。Macworld 提供了多個指南以供參考,包括是否需要防病毒軟件的指南、Mac 惡意軟件的列表以及 Mac 安全軟件的比較。