IT之家 12 月 30 日消息，過去很多人認(rèn)為 macOS 較為安全，其實原因是 macOS 用戶基數(shù)較小，黑客興趣不大，但隨著 Mac 市占率持續(xù)增長，惡意軟件問題亦愈趨嚴(yán)重。Jamf 威脅實驗室 12 月 22 日就披露了一種最新的 macOS 惡意軟件。

蘋果 Mac App Store 之外的應(yīng)用程序必須經(jīng)過加密簽名和認(rèn)證，但 Jamf 指出 —— 黑客正在通過地下渠道購買或竊取真實的開發(fā)者 ID 證書。這些惡意軟件因擁有蘋果的“公證證書”，在安裝時看起來與合法軟件毫無二致，所以能完美躲過蘋果安全審查。

此外，惡意代碼往往被封裝在看似無害的 Swift 執(zhí)行文件中，在蘋果的靜態(tài)分析中，它們幾乎不執(zhí)行任何操作，完美避開審核。

Jamf 批評蘋果的認(rèn)證流程過于死板，黑客提交審核時提供的是“干凈”內(nèi)容，但一旦程序在用戶電腦上運行并連接網(wǎng)絡(luò)，它才會從云端下載并加載真正的惡意代碼。

Jamf 安全研究人員在對內(nèi)部 YARA 規(guī)則命中樣本進(jìn)行分析時，發(fā)現(xiàn)了一種與以往不同的 macOS “木馬”型惡意軟件。

據(jù)介紹，該樣本在整體行為上與近年來活動頻繁的 MacSync Stealer 家族高度相似，但在投遞和執(zhí)行方式上進(jìn)行了明顯調(diào)整。研究人員確認(rèn)，該樣本為一款已經(jīng)完成代碼簽名并通過 Apple 公證的竊密程序，其執(zhí)行鏈條并未遵循此前常見模式。

據(jù)介紹，早期的 MacSync Stealer 主要依賴“拖拽到終端”或 ClickFix 風(fēng)格的社工手段，誘導(dǎo)用戶主動在終端中執(zhí)行腳本；而此次發(fā)現(xiàn)的樣本則采用了一種更加隱蔽、自動化程度更高的新方式。

該惡意程序被打包為一個經(jīng)過代碼簽名并完成公證的 Swift 應(yīng)用，包含在名為“zk-call-messenger-installer-3.9.2-lts.dmg”的磁盤映像中，并通過 https://zkcall.net/ download 分發(fā)。與以往不同的是，該樣本不再要求用戶進(jìn)行任何直接的終端操作，而是通過 Swift 構(gòu)建的輔助可執(zhí)行文件，從遠(yuǎn)程服務(wù)器獲取并執(zhí)行一個經(jīng)過編碼的腳本。

Jamf  還觀察到，另一款名為 Odyssey 的同類程序最新變種也采用了類似的分發(fā)方式。值得注意的是，盡管該可執(zhí)行文件已經(jīng)完成簽名且不需要額外授權(quán)步驟，樣本中仍然保留了常見的“右鍵打開”提示。

在對 Mach-O 二進(jìn)制文件進(jìn)行分析后，研究人員確認(rèn)該程序為通用架構(gòu)構(gòu)建，并已完成代碼簽名和公證，其簽名關(guān)聯(lián)的開發(fā)者團(tuán)隊 ID 為 GNJLS3UYZ4。同時，Jamf 將代碼目錄哈希值與蘋果的吊銷列表進(jìn)行了比對，在分析時并未發(fā)現(xiàn)相關(guān)證書被吊銷。

安全研究人員注意到，該磁盤映像體積異常偏大，達(dá)到 25.5MB。分析顯示，其體積很可能是由于在應(yīng)用包中嵌入了用于掩護(hù)的誘餌文件所致，其中包括與 LibreOffice 應(yīng)用相關(guān)的 PDF 文檔。

在 VirusTotal 平臺上，不同樣本的檢測結(jié)果差異較大，有的僅被一個殺毒引擎識別，有的則被多達(dá)十三個引擎標(biāo)記。多數(shù)安全引擎將其歸類為與 coins 或 ooiid 惡意軟件家族相關(guān)的通用下載器。在確認(rèn)該開發(fā)者團(tuán)隊 ID 被用于分發(fā)惡意載荷后，Jamf 已將相關(guān)信息上報 Apple，隨后對應(yīng)證書已被撤銷。

在初始檢測階段，Jamf Threat Labs 指出，MacSync Stealer 的大多數(shù)載荷通常以內(nèi)存執(zhí)行為主，幾乎從不在磁盤上留下痕跡。早期版本往往會被 Jamf 的高級威脅防護(hù)機(jī)制攔截，因為這些版本通常依賴將腳本文件拖入終端執(zhí)行，或通過 ClickFix 技術(shù)誘導(dǎo)用戶粘貼一段 base64 編碼命令。在這些場景中，載荷會通過 base64 -D 解碼、使用 gunzip 解壓，存入變量并通過 eval 執(zhí)行，隨后再通過 curl 獲取第二階段載荷。

然而，此次樣本的異常之處在于，其觸發(fā)告警的原因并非上述流程，而是一條用于監(jiān)控混淆 Bash 腳本執(zhí)行的威脅防護(hù)規(guī)則。相關(guān)事件顯示，一個位于 /tmp/ runner 的 shell 腳本正在運行，這一行為引起了研究人員的警覺。

安全人員進(jìn)一步檢查后發(fā)現(xiàn)，該腳本的執(zhí)行進(jìn)程來自一個已簽名的應(yīng)用程序，且應(yīng)用路徑顯示其直接從已掛載的磁盤映像中運行。對 /tmp/ runner 腳本的分析表明，這正是此前在 MacSync Stealer 攻擊活動中出現(xiàn)過的同一腳本，只是在早期版本中通常不會被寫入磁盤。解碼后的 base64 載荷與常見的 MacSync Stealer 完全一致，使用了此前已出現(xiàn)過的 focusgroovy [.]com 域名，并包含相同的 daemon_function ()。

Jamf 隨后對應(yīng)用包內(nèi)的 Swift Mach-O 可執(zhí)行文件進(jìn)行了分析。該文件的 _main 函數(shù)作為入口點，用于初始化應(yīng)用狀態(tài)和日志路徑，執(zhí)行基礎(chǔ)的網(wǎng)絡(luò)連接檢查，并在確認(rèn)網(wǎng)絡(luò)可用后獲取第二階段載荷。程序解析用戶主目錄后，會在~/Library/ Logs / UserSyncWorker.log 創(chuàng)建日志文件，并在~/Library/ Application Support / UserSyncWorker/ 目錄中維護(hù) last_up 和 gate 等文件，用于記錄執(zhí)行時間和更新狀態(tài)。相關(guān)文件僅在此前不存在時創(chuàng)建。

日志中會記錄程序啟動信息，并設(shè)置約 3600 秒的最小執(zhí)行間隔，以防止短時間內(nèi)重復(fù)運行。隨后，程序調(diào)用 checkInternet () 進(jìn)行網(wǎng)絡(luò)連通性檢測，僅在確認(rèn)聯(lián)網(wǎng)后才會繼續(xù)執(zhí)行 runInstaller ()。如果網(wǎng)絡(luò)不可用，則會記錄“preflight: internet=false”，并通過 _exit (1) 正常退出。

runInstaller () 函數(shù)承擔(dān)了完整的第二階段載荷下載與執(zhí)行邏輯。該函數(shù)首先讀取~/Library/ Application Support / UserSyncWorker / last_up 中保存的時間戳，以實現(xiàn)執(zhí)行頻率限制。如果距離上次執(zhí)行不足約 3600 秒，程序會記錄相關(guān)日志并直接退出。在滿足條件后，程序再次檢測網(wǎng)絡(luò)狀態(tài)，并清理 /tmp 目錄中此前遺留的文件，例如 /tmp/ runner。

隨后，程序通過 /bin/ zsh -lc 調(diào)用 curl，向一地址發(fā)起請求，并使用特定的 User-Agent (macOS)。下載的載荷被寫入 /tmp/ runner，請求頭信息則保存至 /tmp/ runner.headers。與以往變種相比，該 curl 命令在參數(shù)上有所變化，例如將常見的 -fsSL 拆分為 -fL 與 -sS，并新增了 --noproxy 選項。這些變化被認(rèn)為旨在提升穩(wěn)定性或規(guī)避檢測。

在執(zhí)行載荷前，程序會移除 com.apple.quarantine 屬性，并將文件權(quán)限設(shè)置為 750。隨后，通過 /usr/ bin / file 檢查其 MIME 類型是否為 text/x-shellscript，并驗證其輸出是否包含預(yù)期的腳本描述信息，以確認(rèn)其為 zsh 腳本。同時，程序還會調(diào)用 spctl -a -v 執(zhí)行 Gatekeeper 檢查，確保下載文件能夠通過蘋果的安全檢查。

載荷執(zhí)行完成后，/tmp/ runner 文件即被刪除，并將當(dāng)前時間戳寫回~/Library/ Application Support / UserSyncWorker / last_update，以繼續(xù)實施最小執(zhí)行間隔控制。

Jamf 認(rèn)為，該 runInstaller () 函數(shù)構(gòu)建了一個分層、具備狀態(tài)感知且具備規(guī)避能力的投遞流程，通過環(huán)境檢測、頻率限制、網(wǎng)絡(luò)請求、Gatekeeper 繞過與輕量級校驗相結(jié)合，并整體封裝在原生 Swift 可執(zhí)行文件中。一旦載荷執(zhí)行完成，系統(tǒng)中會出現(xiàn)常見的 osascript 對話框，并伴隨其他與 MacStealer 活動相關(guān)的行為。

Jamf 指出，盡管 MacSync Stealer 本身并非新出現(xiàn)的威脅，但此次案例顯示其作者仍在持續(xù)演進(jìn)其投遞方式。研究人員此前尚未觀察到這種以 Swift 編寫、完成代碼簽名和公證、并能夠靜默獲取和執(zhí)行第二階段載荷的投遞程序。該變化反映了 macOS 惡意軟件生態(tài)中的一個更廣泛趨勢，即攻擊者正試圖將惡意程序偽裝成已簽名、公證的合法應(yīng)用，從而降低早期被發(fā)現(xiàn)的風(fēng)險。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。