【2024-12-04 09:10:00AI Siri网最新消息】
苹果的macOS在2024年面临严峻挑战,恶意软件即服务平台和人工智能驱动的威胁让这一年成为Mac安全的转折点。
多年以来,macOS被认为抗恶意软件能力强,但2024年却展现了不同的局面。针对macOS用户的恶意软件激增,主要受恶意软件即服务(MaaS)平台的推动,甚至还与人工智能的发展相关,这改变了原有的看法。
Moonlock的2024年macOS威胁报告揭示了令人担忧的趋势,使苹果平台成为网络犯罪分子的丰饶目标。报告深入探讨了攻击者所使用的不断演变的战术,从廉价的即插即用恶意软件工具包,到绕过关键保护的复杂AI生成攻击。
然而,许多攻击并非由于系统存在缺陷,而是因为用户禁用了内置的安全措施,或在无意中被诱惑安装恶意软件。
Mac恶意软件市场的增长
过去,网络犯罪分子主要忽视Mac,因为其用户基数较小,但现在他们看到这个平台是一个新的机会,不再只盯着Windows。令人担忧的是,利用macOS漏洞的工具变得愈发容易获取。
十年前,为这一平台创建恶意软件需要深入的技术技能和计算资源。而如今,像AMOS Stealer这样的恶意软件即服务平台在降低进入门槛方面发挥了重要作用。
只需每月1500美元,甚至缺乏经验的黑客也能购买自动化获取用户数据的工具包。这种亲民的价格打开了恶意软件的泛滥之门。
人工智能的使用也是推动恶意软件激增的因素之一。Moonlock透露,像ChatGPT这样的AI工具正在黑暗网络论坛上被用来一步步引导黑客完成恶意软件的创建过程。
恶意软件分解。图片来源:Moonlock
这些工具能够生成脚本,将恶意软件打包到安装文件中,甚至教攻击者如何绕过macOS的Gatekeeper保护。借助AI辅助,连新手也能部署原本在几年前超出他们能力范围的威胁。
攻击者使用社会工程学和技术操纵方法绕过macOS的Gatekeeper保护,利用用户的信任和系统的漏洞。网络犯罪分子通过伪造的提示或声称安装合法软件的详细指令欺骗用户禁用Gatekeeper。
伪装成可信应用程序或系统更新的恶意软件会覆盖安全警告。在某些情况下,攻击者获取或窃取有效的Apple开发者证书,以签署他们的恶意软件,从而绕过Gatekeeper的验证。
2024年的Mac恶意软件
多年来,Mac威胁主要由广告软件和勒索软件主导。这些旨在骚扰或勒索用户的工具在2024年之前均相对有效。
由于用户意识的提升和更好的保护措施,广告软件活动的盈利性减弱。macOS上的勒索软件同样未能达到Windows上的复杂程度和成功率。
相反,黑客正在转向窃取器——旨在悄悄收集敏感数据(如密码、Cookies和加密货币钱包信息)的恶意软件。
2024年8月,安全研究人员发现了名为“Cthulhu Stealer”的新型macOS恶意软件,每月仅需500美元就可出售给网络犯罪分子。该恶意软件伪装成诸如《侠盗猎车手IV》或CleanMyMac等合法软件,以欺骗用户下载安装。
安装后,它会提示用户输入敏感信息,并将这些信息传输给攻击者。Cthulhu Stealer与“Atomic Stealer”相似,表明开发者复用了已知的代码。
8月,还有一个名为“Banshee Stealer”的窃取器。它从感染系统中收集大量信息,包括系统详细信息、密码和特定文件类型。它利用识别虚拟环境和API等规避技术,避免被特别是在讲俄语的系统中检测到。
该恶意软件以3000美元的高价在地下论坛上作为高级工具进行分发,显示其复杂性和针对严重犯罪分子的使用意图。然而,目前没有明确迹象表明苹果已修补Banshee的漏洞。
与此同时,2024年9月,网络安全专家发现了名为HZ Remote Access Tool(HZ RAT)的新macOS威胁。该恶意软件使攻击者对感染系统拥有完全的管理控制权。
HZ RAT通常通过篡改版本的流行应用程序(如OpenVPN Connect)分发。安装后,它会安装其他软件,捕获屏幕截图,记录击键,并访问微信和钉钉等应用的数据。
该恶意软件通过创建定时任务或修改启动脚本等方式建立持久的系统访问权限,确保在重启后仍能加载。它与位于中国的指挥控制服务器进行通信,传输被盗数据并接收指令。
HZ RAT使攻击者可以安装额外的载荷,升级活动,如部署勒索软件、窃取敏感数据或将感染系统用于僵尸网络。HZ RAT的多阶段能力使其成为一种多功能且危险的工具。
了解攻击者如何利用漏洞及其不断演变的方法是保持防范的一个重要途径。
漏洞与攻击方法
黑客可以采用技巧说服用户手动覆盖macOS的安全措施,例如展示看似真实的虚假提示。
使用ChatGPT进行恶意软件编写。图片来源:Moonlock
社会工程学完全绕过了Gatekeeper,一旦安装,恶意软件便自由横行。对于长久以来信任macOS内置保护的用户来说,这是一个警示,需对每个弹出窗口和提示进行仔细审查。
除了社会工程学,攻击者还利用强大的工具在macOS设备上获得立足点。后门恶意软件能够持久访问系统,在2024年活动显著增加。
这些后门通常与漏洞一起工作——攻击者利用软件漏洞突破系统防线。Moonlock的数据揭示,在2024年4月的目标性攻击中,这类协调攻击的数量急剧增加。
苹果已针对Moonlock在2024年macOS威胁报告中指出的漏洞做出了回应。2024年11月,苹果发布了iOS 18.1.1和macOS Sequoia 15.1.1的更新,以修补JavaScriptCore和WebKit中的零日漏洞(CVE-2024-44308和CVE-2024-44309)。
此外,在2024年9月,苹果修复了一个允许恶意行为者通过专门制作的ZIP档案绕过Gatekeeper保护的漏洞。
虽然窃取器在增加,但与复杂的Windows攻击相比,它们的有效性仍然有限。Mac的架构和默认保护对黑客构成显著障碍。
大多数窃取器缺乏先进的混淆和持久机制,主要依赖基本的用户错误。对于保持系统更新、使用Mac应用商店并禁用安全功能的用户来说,风险较低。
苹果严肃对待这些威胁,推出了诸如撤销“控制单击”及修补Gatekeeper绕过漏洞的更新。结合XProtect的改善和定期系统更新,Mac的防御仍然强大。
如何保持安全
2024年的macOS恶意软件形势十分复杂。一方面,像Cthulhu Stealer和AMOS Stealer这样的工具听起来令人担忧。但仔细审视后,发现并没有大规模攻击的确凿证据。
大多数活动涉及小规模的事件或理论上的风险,而非广泛的损害。尽管如此,macOS安全的认知正在发生变化。
然而,仍然可以保护自己。许多攻击依赖于社会工程,通过欺骗用户来绕过自身的安全设置。保护Mac意味着仔细审查每个系统提示,避免可疑下载,并远离不明链接。
用户还应依赖可信来源,例如Mac应用商店,进行软件下载,并仔细检查已安装应用请求的权限。
保持软件更新是安全的基石之一。苹果定期发布补丁以解决漏洞。安装更新可确保系统受益于最新的防御措施,对抗活跃的攻击。
出售AMOS。图片来源:Moonlock
考虑投资额外的保护工具也是值得的。像端点检测和响应(EDR)软件或信誉良好的防病毒解决方案可以提供额外的防御层。
教育同样重要。了解最新的安全威胁可以让用户作出更明智的决策。
Moonlock的报告揭示了攻击者对macOS看法的转变。随着平台用户基数的增长,自然成为网络犯罪分子的更大目标。
这并不是因为macOS本身不再安全,而是因为攻击者认为其价值更高。绕过macOS保护的工具和技术也变得更加易得,使得即使是经验不足的攻击者也能针对用户。
关键在于这些攻击在多大程度上依赖用户行为。许多成功的违规并不依赖于复杂的攻击手段,而是利用用户绕过Gatekeeper等保护措施或落入网络钓鱼陷阱。
像AMOS和Cthulhu Stealer这样的恶意软件依赖用户的欺骗,使其授予权限或下载看似合法的软件。保持对威胁的知晓,避免不可信的下载,并启用系统保护对macOS用户至关重要。
