30000臺(tái)Mac被惡意軟件侵入 如何檢查自己的Mac？

蘋果新出的M1系列，正被惡意軟件“盯上”。

現(xiàn)在，一個(gè)名為“銀絲雀”（Silver Sparrow）的新型惡意軟件，已經(jīng)悄悄入侵了全球153個(gè)國(guó)家的30000臺(tái)Mac。

傳播之廣、行動(dòng)之隱蔽，幾乎讓網(wǎng)絡(luò)安全專家們措手不及。

而且，他們不僅無法掌控“銀絲雀”的傳播途徑，也還不清楚它的最終目的。

換而言之，它不僅隨時(shí)可能“自爆”，而且還能在“作案”后，無痕刪除自己。

隨時(shí)“自爆”的炸彈

這個(gè)名為“銀絲雀”的新型惡意軟件，獨(dú)特在什么地方？

首先，這是個(gè)用JavaScript編寫的惡意軟件，這對(duì)于MacOS來說非常罕見。

此外，它還特意為M1更新了一版軟件。現(xiàn)在的兩版軟件中，一個(gè)針對(duì)Intel系列Mac設(shè)備，另一個(gè)則針對(duì)基于M1的、以及舊版的Mac設(shè)備。

這個(gè)軟件的傳播速率高、覆蓋率廣、M1兼容性強(qiáng)，運(yùn)行效果也良好，最關(guān)鍵的是，目前專家尚未發(fā)現(xiàn)它是如何傳播的。

專家發(fā)現(xiàn)，“銀絲雀”的基礎(chǔ)設(shè)施托管在亞馬遜云平臺(tái)（Amazon Web Services s3）上，這是大多數(shù)公司都在使用的云資源。

“銀絲雀”的可怕之處在于，安全研究人員發(fā)現(xiàn)，它現(xiàn)在還在蟄伏期（尚未發(fā)現(xiàn)其有效載荷）。

目前，解析兩個(gè)版本的文件結(jié)果，僅是這樣的（略帶惡意）：

而且，“銀絲雀”還具有“自毀”程序，可以在事后刪除自己，不留任何痕跡。

這款惡意軟件只是每小時(shí)向服務(wù)器發(fā)送一條消息，還沒有任何大動(dòng)作，但是一旦滿足觸發(fā)條件，將產(chǎn)生嚴(yán)重后果。

如何檢查自己的Mac

截至目前，研究人員還不知道“銀絲雀”使用的是什么攻擊向量 （attack vector）。

攻擊向量指一種路徑或手段，黑客可以通過它訪問計(jì)算機(jī)或網(wǎng)絡(luò)服務(wù)器，以傳遞有效負(fù)載或惡意結(jié)果。

因此，目前還不清楚“銀絲雀”的攻擊目標(biāo)是什么，僅能推測(cè)它可能是一款惡意廣告軟件。

不過他們發(fā)現(xiàn)，“銀絲雀”會(huì)在~/Library/LaunchAgent文件夾下生成agent/verx，后綴為plist的文件。

也就是說，只要看到這些文件，你的電腦就可能被感染了。

那么，真的就沒有任何防范措施了嗎？

一位HN網(wǎng)友給出了幾點(diǎn)基礎(chǔ)的建議。

首先，保持操作系統(tǒng)、瀏覽器及其他軟件的更新。此外，可以在瀏覽器中安裝uBlock Origin，這是個(gè)過濾瀏覽器內(nèi)容的擴(kuò)展程序，以及AdGuard Home等廣告攔截器。

其次，安裝一款防火墻，這位網(wǎng)友推薦了Little Snitch，可用于監(jiān)視應(yīng)用程序，以阻止或允許它們通過高級(jí)規(guī)則連接到網(wǎng)絡(luò)。（某些惡意軟件檢測(cè)到Little Snitch時(shí)，還會(huì)自動(dòng)刪除）

最后，不要從不明來源安裝軟件。

無獨(dú)有偶

“銀絲雀”并非第一款針對(duì)M1系列Mac的惡意軟件。

事實(shí)上，就在一周前，還有人發(fā)現(xiàn)了另一款針對(duì)M1的惡意軟件GoSearch22。

這是一個(gè)惡意廣告軟件Pirrit的“升級(jí)版”，針對(duì)M1搭載的ARM64架構(gòu)，對(duì)軟件進(jìn)行了對(duì)應(yīng)的修改。

GoSearch22能夠持續(xù)攻擊Mac設(shè)備，且普通用戶難以將其刪除。

它會(huì)將自己隱蔽成一個(gè)“瀏覽器擴(kuò)展程序”，從Safari、Chrome等Mac瀏覽器上搜集數(shù)據(jù)，然后強(qiáng)制展示優(yōu)惠券、廣告橫幅和惡意彈窗。

研究人員推測(cè)，GoSearch22的目的，是從廣告、用戶搜索結(jié)果中牟利，此外，也可能在未來開發(fā)出更多惡意功能。

目前，蘋果已經(jīng)撤銷了Pirrit開發(fā)商使用的開發(fā)者證書。

但這些惡意軟件接二連三地出現(xiàn)，也在逼迫著殺毒引擎進(jìn)行升級(jí)。

殺毒軟件亟待升級(jí)

就在上周，專家們利用GoSearch22，對(duì)一系列殺毒引擎進(jìn)行了“測(cè)試”。

他們發(fā)現(xiàn)，竟然有接近15%的殺毒引擎，沒能檢測(cè)出GoSearch22的存在，但基本都能檢測(cè)出它的上一個(gè)版本Pirrit。

也就是說，已有的殺毒引擎，仍然在針對(duì)x86_64平臺(tái)進(jìn)行防護(hù)，然而對(duì)于根據(jù)ARM架構(gòu)編寫的惡意軟件，卻沒有“招架之力”。

意味著，這些針對(duì)x86_64平臺(tái)編寫的病毒分析工具或防病毒引擎，可能無法處理ARM64二進(jìn)制文件。

因此，能否檢測(cè)出這些為ARM架構(gòu)編寫的惡意軟件（“銀絲雀”、GoSearch22等），已經(jīng)成為殺毒軟件評(píng)判的新標(biāo)準(zhǔn)。

在殺毒軟件與惡意軟件的“博弈”之下，如何進(jìn)行軟件安全迭代升級(jí)？

M1還有很長(zhǎng)的路要走。

責(zé)任編輯：PSY