虽然今年我们还没有看到针对Mac OS X的高调攻击,但我们确实检测到了持续性而且新型的的袭击,这都需要明智的Mac用户提高警惕。
尽管我们还没有看到堪比2012年Flashbck那样庞大的全球性攻击,但针对Mac OS X平台的攻击在2013年继续蔓延。我们看到Mac攻击的类型包括木马,针对Java平台缺陷和Microsoft Word文档格式的攻击,咄咄逼人的浏览器插件,恶意的JavaScript和Python脚本,获得Apple Developer ID数字认证的恶意软件可以通过苹果公司的Gatekeeper保护,诱骗用户以为它们是合法的应用程序。
举例来说,2013年2月据路透社报道,苹果公司员工的Mac电脑被黑客通过另一个零日Java漏洞攻击,而一周前Facebook也成为同类事件的受害者,事后他们又攻击了微软的Mac业务部门。
网站的软件开发者这种 “水坑”攻击方式可能反映出黑客的心理,即不是去直接攻击公司精心捍卫的基础设施,而是通过他们员工访问的小众网站来攻击公司要更加容易。
所有的攻击都源于Microsoft Word 2004/2008 的漏洞, 所以微软很早就已经提供了补丁(MS09-027)。无论你在世界的任何一个地方,如果你正在运行未打补丁的的Word版本,现在正好是可以将其修复的好时机。事实上这些都是有针对性的攻击,而且他们似乎并不是唯一的。 2013年9月发现的OSX / Bckdr – RQV-一个新的后门攻击,一旦安装,就会传输各种关于被感染机器的信息。
Apple Developer ID攻击
在OS X最新的的版本中,默认情况下苹果公司的Gatekeeper工具允许OS X系统安装在苹果自己应用商店中检索的软件,只要有活跃的Apple Developer ID签名即可。但是如果恶意软件也拥有一个有效的Apple Developer ID签名呢?在2012年12月和2013年2月就发生过这样的事,恶意邮件通过苹果开发者“Rajinder Kumar”签署的圣诞卡应用程序传播了出去。在苹果撤销Kumar的ID之前,有些用户已经遭遇OSX / HackBack -A鱼叉式钓鱼有效载荷攻击:恶意软件将他们文档文件的压缩版本上传到了远程服务器上。
圣诞节贺卡应用软件并不是今年唯一签署的Mac恶意软件;今年夏天,基于Python的Janicab Trojan也使用了同样的攻击。可能还有基于现有Apple Developer ID的攻击未被披露;不管情况如何,未来都可能出现更多类似的攻击。
广告软件和勒索软件
今年我们也发现针对Android系统的浏览器插件更加活跃,这些广告软件插件的性质介于PUA和彻底的恶意软件之间。通常这些广告软件插件可能会采用一个激进的安装程序(甚至可以将用户喜好忽略不计);或者伪装成用户可能需要的视频编解码器( OSX / FkCodec - A),或者以其他方式诱骗用户同意安装。
说到网页浏览器,一些不幸的Mac Safari用户今年就遇到过廉租形式的勒索攻击。像多数勒索攻击一样,他们会把自己伪装成来自执法部门发出威慑信息,号称该用户已被查获观看或获取非法内容,并要求用户立即支付罚款。与今年最猖狂的勒索攻击不同(即Cryptolocker,只影响Windows系统),这种Mac恶意软件并不加密你的文件,它只是运行JavaScript代码来捕捉你的浏览器,并在强制退出后重新出现。正如Malwarebytes所指出的,幸运的是这个JavaScript可以通过Safari菜单选择还原Safari 来删除- 还好没有费用或者造成损失。
最后,像Linux服务器一样,Mac OS X服务器(在某些客户端上)往往也会驻留处于非活动状态的Windows恶意软件,直到它被转移到Windows系统为止。此外,许多用户会使用诸如Parallels Desktop这样的软件在OS X系统内部运行Windows虚拟机。这些Windows虚拟机像任何其他Windows系统一样很容易受到恶意软件的攻击。一些使用Windows系统办公的Mac用户此时就会处于不受保护的状态,他们本不应该这么做的。