Mac用戶當心!新型macOS竊資軟體「Mac.c」現蹤 暗網駭客搶攻蘋果用戶
記者孫敬/編譯
一款名為Mac.c的新型macOS竊資軟體在暗網論壇上浮出水面,開發者「mentalpositive」宣稱能以每月僅1,500美元的價格,提供極速的資料外洩服務。
Mac.c被宣傳為既有AMOS竊資軟體的精簡替代品,它以極小的檔案體積,專門竊取登入憑證、加密貨幣錢包和系統元資料。初步樣本分析顯示,這款惡意軟體利用macOS的原生工具和API來隱藏其活動,對個人及企業用戶來說都是一項重大威脅。
延伸閱讀:你的電腦變慢了嗎?駭客藉假YouTube下載網站偷走你的頻寬
利用蘋果原生工具,竊取資料不留痕跡
資安研究團隊Moonlock分析,Mac.c的模組化設計與AMOS有許多相似之處,但省略了後者一些更進階的功能,例如更廣泛的錢包類型鎖定和自動按鍵側錄整合。這使得Mac.c成為一個更快、更精簡的竊資軟體,對那些剛進入macOS惡意軟體市場的菜鳥駭客極具吸引力。
除了具備價格競爭力之外,Mac.c的一個突出特點是它利用標準系統公用程式進行階段式通訊。透過調用AppleScript和內建的命令列工具,這款惡意軟體最大限度地減少了對外部檔案的依賴,並降低了鑑識追蹤的難度。
Moonlock 研究人員發現,Mac.c透過生成一個AppleScript程序來啟動資料外洩,這個程序專門從iCloud鑰匙圈中提取登入資訊,然後將竊取的資料壓縮並透過加密的HTTPS通道上傳到駭客控制的伺服器。
Mac.c的感染通常始於透過電子郵件或惡意廣告進行的網路釣魚,誘導使用者下載一個看似無害的macOS安裝程式。一旦執行,惡意軟體會在系統中植入一個啟動代理(Launch Agent),確保能在電腦重開機後繼續執行。一旦站穩腳跟,程式就會利用AppleScript收集鑰匙圈和瀏覽器中儲存的憑證,鎖定包括Chrome、Edge、Brave和Yandex在內的瀏覽器。
根據CleanMyMac的數據,已在macOS環境中偵測到多個名為「Installer.dmg」和「Installer descrakeador adobe.dmg」(偽裝成Adobe破解程式)的變種。
資料來源:Cyber Security News
