PTT評價

[閒聊] 發現偽裝成 GTA 6 的 macOS 惡意軟體

看板C_Chat標題[閒聊] 發現偽裝成 GTA 6 的 macOS 惡意軟體作者
STAV72
(刁民黨黨務主委)
時間推噓 3 推:3 噓:0 →:2

果然從火狐時代至今,內容物詐騙就沒有停止過的一天。

https://infosecu.technews.tw/2024/04/01/faje-gta-6-macos-stealer/

研究人員發現偽裝成 GTA 6 的 macOS 惡意軟體

作者 邱 倢芯 | 發布日期 2024 年 04 月 01 日 14:41 |

研究人員發現偽裝成 GTA 6 的 macOS 惡意軟體

期待俠盜獵車手 VI(GTA 6)遊戲嗎?GTA 6 預計將會在 2025 年登陸 PlayStation 5
及 Xbox Series X/S 等平台,但想必有許多人早已等不及,看到可能可以下載的點,完全不在意安全性就按下下載。但你下載的不太可能是 GTA 6,而是一款會竊取你敏感個資的惡意程式。

據 Moonlock 安全研究人員發現,現在網路上出現了一款聲稱是 GTA 6 的 macOS 惡意軟體,一旦受害者安裝了這款應用程式,軟體就會執行一種相當聰明的技術來竊取的你的敏感資訊,像是從用戶本地端鑰匙圈提取密碼等。

Moonlock 發現的新惡意軟體樣本,是密碼竊取軟體(PSW)的變種,這是一種木馬惡意程式,只在從受感染的電腦中收集登入名稱與密碼,並透過遠端連線或電子郵件的方式來發送給犯罪分子。

這種惡意軟體會將自己偽裝成 GTA 6 副本或 Notion 的盜版版本,再透過現在常見的社交工程技術來博取受害者信任,進一步誘導他們下載惡意軟體。

值得注意的是,現在所有 Mac 都安裝了 macOS Gatekeeper,這項安全功能會在後台運行,以防用戶從網路上下載可能包含惡意軟體的未簽名應用程式。但是其實用戶只需要右鍵按一下 DMG 檔案,並按下「開啟」即可覆蓋此一安全功能。犯罪份子會透過包含指導使用者如何開啟惡意檔案的圖片來跳過 Mac 的安全機制。

執行後,DMG 會釋出一個名為 AppleApp.txt 的 Mach-O 檔案。隨後,AppleApp 會向源自俄羅斯 IP 位址的特定 URL 發起 GET 請求;如果連線成功,就會開始下載部分混淆
的 AppleScript 和 Bash 有效負載。這個有效負載繞過檔案系統,直接從應用程式記憶體執行。

執行時有效負載會使用多方面的方法來實現其惡意目標,按照順序分別是:

釣魚憑證
針對敏感數據
系統分析
資料外洩

由於只能透過使用者的系統密碼才能存取畚箕鑰匙圈資料庫,因此這款應用程式執行了第二種巧妙技術,其將部署一個虛假的幫助應用程式安裝視窗,進一步利用信任並誘騙用戶洩漏密碼。

研究人員指出,惡意軟體會精準地搜尋系統目標,從當下流行的網頁瀏覽器(如 Chrome、Firefox、Brave、Edge、Opera 和 OperaGX)中找尋有價值的資料,像是 cookie、表單歷史紀錄,與登入憑證。

另外,惡意軟體也會從 FileZilla、macOS 鑰匙圈資料庫與加密貨幣錢包中尋找最新的伺服器清單。

惡意軟體也會使用更複雜的 AppleScripts 在使用者的主目錄中建立一個秘密資料夾。在這裡任何收集到的登入名稱、密碼和金鑰都會儲存起來,等待網路犯罪分子控制的外部伺服器從受感染系統中提取資料。

那麼要如何防範這種事情發生在自己身上?

雖然現在大約只有 6% 的惡意軟體是針對 Mac 用戶,但實際上威脅者已經比以往都更積極地針對 macOS,使用者保持警惕並使用常見的網路應用程式非常重要。在安裝非 App
Store 應用程式前要該要謹慎,且盡可能地調查清楚是否安全,且在任何情況下都不應該按照指示繞過 Gatekeeper;請小心謹慎地看待任何系統提示或敏感資訊請求。要讓自己的裝置與應用程式都維持在最新版本狀態,以防最新的威脅與漏洞。




--

※ PTT 留言評論
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.32.144.230 (臺灣)
PTT 網址

cchh17904/01 18:35macos 也不跑動gta6ㄅ

ltytw04/01 18:38容量多少 他要怎麼把自己灌水到幾百GB?

f919004/01 19:02overlay塞一塞就有了啊

guogu04/01 19:27gta5就沒mac版了 gta6也說會先上主機 這樣還信的真是天才

KudanAkito04/01 20:34怎麼不偽裝成黑白妹