一场针对 Mac 系统的复杂恶意软件攻击活动已出现,攻击者通过伪装成正规平台的欺诈性 PDF 转换网站,隐藏具有危险性的两阶段有效载荷,以此针对用户发起攻击。
这款被命名为 “JSCoreRunner” 的恶意软件,标志着 macOS 系统面临的威胁已出现重大升级。它充分体现了网络犯罪分子正不断调整攻击手段 —— 既能绕过苹果的安全防护措施,又能在主流安全平台上保持 “零检出率”。
该威胁通过 “fileripple [.] com” 网站实施攻击,此网站伪装成提供正规 PDF 转换服务的平台。
用户访问该网站时,会被诱导下载一个看似实用工具的文件 “FileRipple.pkg”。该文件会启动虚假的网页视图(webview)界面,营造出 “正规 PDF 工具” 的假象。
这种精密的欺骗手段,能让恶意软件在后台悄悄执行恶意操作,而用户却误以为自己正在使用合法应用。
9to5Mac 的分析师指出,该攻击活动在被发现时具有 “零日漏洞” 攻击的特征,因此格外值得警惕。(注:“零日漏洞” 指尚未被软件厂商发现、未发布修复补丁的安全漏洞,利用此类漏洞的攻击往往难以被现有防护手段拦截)
在病毒分析平台 VirusTotal 上,所有安全厂商的检测工具均未识别出该恶意软件 —— 这一现象既凸显了该威胁的高进阶性,也暴露了传统检测方法面临的挑战。
该恶意软件的主要攻击目标是 “浏览器劫持”,尤其针对受感染系统上安装的谷歌浏览器(Google Chrome)。
“JSCoreRunner” 会系统性地遍历 “~/Library/Application Support/Google/Chrome/” 目录(注:“~” 代表用户主目录),定位浏览器的默认用户配置文件及其他额外用户配置文件,随后通过修改 “TemplateURL” 对象(注:浏览器中用于定义搜索引擎链接模板的核心配置项),篡改谷歌浏览器的搜索引擎设置。
“JSCoreRunner” 攻击活动采用精心设计的 “两阶段部署策略”,旨在规避 macOS 系统的安全管控。
第一阶段的核心是一个 “带数字签名的安装包”,该签名经过刻意伪造,使其看起来具备合法性。不过,苹果公司随后已吊销了该开发者的数字签名。
签名被吊销后,macOS 系统的 “门控系统”(Gatekeeper,苹果推出的安全机制,用于验证软件合法性,默认阻止未签名 / 签名无效的软件运行)会拦截这个第一阶段安装包。这会给用户造成 “威胁已被清除” 的错觉,让用户放松警惕。
然而,第二阶段的有效载荷 “Safari14.1.2MojaveAuto.pkg” 是一个 “无数字签名的文件”,它会从同一个被入侵的域名(即 fileripple [.] com)直接下载到用户设备中。
这种 “无签名” 的属性,使其能够绕过 “门控系统” 的默认拦截机制 —— 因为 macOS 系统通常仅对 “初始下载的安装包” 进行签名验证,而不会对 “后续获取的组件” 进行同等严格的校验。
一旦成功安装,该恶意软件会通过修改谷歌浏览器的搜索引擎设置来实现 “持久化驻留”(注:指恶意软件在系统中保持长期存在、即使重启也能继续运行的状态):它会将用户的浏览器搜索请求重定向到欺诈性搜索引擎,同时隐藏浏览器的崩溃日志和会话恢复提示,以此维持隐蔽性操作,避免被用户察觉。
红客联盟·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
