Mac惡意程式偽裝Flash安裝更新 借Google搜尋結果散播

一款專門針對 Mac 裝置的新惡意程式被發現偽裝成 Adobe Flash 安裝工具,出現在各個 Google 搜索結果排行高位的網站上,藉此大規模散播,而且惡意程式更規避防毒軟件和虛擬機器,令用戶難以察覺。

偽裝 Adobe Flash 安裝工具
OSX/CrescentCore 是一款前所未見的 Mac 惡意程式,在不同的網站內偽裝成 Adobe Flash 安裝工具,其真身其實是一款木馬程式 (一個.dmg檔案),下載後會在受害者的系統上安裝惡意程式和瀏覽器擴充插件。研究人員發現其中一個病毒變種會安裝流氓程式 OSX/AMC,也有變種會在用戶的 Safari 上安裝惡意的瀏覽器插件。

藏身 Google 搜索結果高位的網站
很多用戶都會使用 Google 搜索資料, OSX/CrescentCore 就藏身在一些搜索結果排行高位的網站上,其中一個就是名為「GetComics」的網站,免費分享新漫畫的數碼版 (盜版)。研究人員表示,惡意程式散佈通常會尋有漏洞的部落格或在 Google 搜索引擎上高排名的網站,再經過連串連結重生定向,最後把用戶帶到偽裝 Flash Player 的網站。

如果用戶點擊彈出的 Adobe Flash Player 更新警告,便會散播新的 OSX/CrescentCore 或以前的 OSX/Shlayer 惡意程式。然而,與其他裝 Flash Player 更新不同,OSX/CrescentCore 擁有額外的功能令防毒軟件難以偵測,提升惡意程式分析和逆向工程工作的難度。

發現防毒或虛擬機器即停止運作
當下載惡意程式之後,它其中一個功能就係規避在虛擬機器上運作 (最常用作檢查惡意程式的環境) 或裝置上是否有防毒軟件運行,一發現以上任何一種情況,惡意程式直接停止運作。在虛擬機器上進行惡意程式分析,可以避免意外感染自己的電腦,所以很多惡意程式的製作者都會放入偵測虛擬機器的功能,增加分析工作的難度。

如果沒有發現以上任何一種情況,惡意程式便會安裝 LaunchAgent 協助更多感染裝置的工作,LaunchAgent 是安裝在 Mac Library 上的資料夾,並且在每次用戶登入時自動執行,使惡意程式能長時間保留在 MacOS 上。研究人員在較早前更發現前所未見的變種 OSX/Linker,相信是利用了 MacOS 在 5 月時被發現的臭蟲漏洞,令惡意編碼可以在 Mojave (10.14.0) 上執行。

資料來源:Threat Post