俄羅斯黑客論壇驚現(xiàn)新型Mac木馬 帶真正蘋(píng)果代碼簽名

騰訊科技訊 據(jù)外媒報(bào)道，安全研究人員在俄羅斯黑客論壇發(fā)現(xiàn)一種新型Mac木馬，這款木馬名為“Proton”，據(jù)說(shuō)帶有真正的蘋(píng)果代碼簽名，因此它可能會(huì)給受害者造成更大的危害。

據(jù)安全公司Sixgill稱(chēng)，在俄羅斯黑客論壇上發(fā)現(xiàn)的這款木馬是針對(duì)macOS系統(tǒng)的一種遠(yuǎn)程訪問(wèn)木馬（RAT）。這個(gè)木馬是用Objective C語(yǔ)言編寫(xiě)而成，可以不依靠任何載體獨(dú)立運(yùn)行。據(jù)木馬的制作者稱(chēng)：“它是一種專(zhuān)業(yè)的FUD監(jiān)視和監(jiān)控解決方案，憑借它，你幾乎可以利用攻擊目標(biāo)的Mac電腦做任何事?！?/p>

由于這款木馬具備根訪問(wèn)權(quán)限，因此它可以作出很多行為，包括鍵盤(pán)記錄、上傳和下載文件、截取屏幕截圖、開(kāi)啟和關(guān)閉攝像頭以及SSH和VNC連網(wǎng)。據(jù)說(shuō)這款?lèi)阂饽抉R還可以向受害者展示一個(gè)定制窗口，這樣攻擊者就可以要求受害者提供更多信息，比如信用卡帳號(hào)等等。

這款木馬攻擊的對(duì)象并非只有用戶(hù)保存在本地的數(shù)據(jù)，它還可以訪問(wèn)用戶(hù)的iCloud帳戶(hù)，即使用戶(hù)開(kāi)啟雙重認(rèn)證也不能避免。

Sixgill還說(shuō)，這款木馬的制作者已經(jīng)設(shè)法拿到了由蘋(píng)果簽名的代碼，這樣它就可以通過(guò)蘋(píng)果為第三方軟件開(kāi)發(fā)員制定的嚴(yán)格過(guò)濾機(jī)制。這款木馬的制作者要么是繞過(guò)了蘋(píng)果開(kāi)發(fā)者ID項(xiàng)目，要么會(huì)利用竊取來(lái)的證書(shū)通過(guò)簽名審核。

而且，Sixgill相信這款?lèi)阂廛浖荒芡ㄟ^(guò)使用macOS中的一個(gè)尚未被修復(fù)的零時(shí)漏洞獲得根訪問(wèn)權(quán)限。盡管提供了各種功能，這款木馬仍然需要利用常規(guī)方進(jìn)行攻擊。

值得注意的是，這款木馬的制作者下調(diào)了面向潛在客戶(hù)提供的Proton的售價(jià)。以前，這款工具的售價(jià)為100比特幣（約合12.6萬(wàn)美元）。遭到業(yè)內(nèi)人士的批評(píng)之后，公司將產(chǎn)品價(jià)格下調(diào)至40比特幣（約合5.4萬(wàn)美元）（無(wú)限安裝）和2比特幣（約合2512美元）。（編譯/林靖東）