[閒聊] 發現偽裝成 GTA 6 的 macOS 惡意軟體
作者: STAV72 (刁民黨黨務主委) 2024-04-01 18:29:25
果然從火狐時代至今,內容物詐騙就沒有停止過的一天。
https://infosecu.technews.tw/2024/04/01/faje-gta-6-macos-stealer/
研究人員發現偽裝成 GTA 6 的 macOS 惡意軟體
作者 邱 倢芯 | 發布日期 2024 年 04 月 01 日 14:41 |
研究人員發現偽裝成 GTA 6 的 macOS 惡意軟體
期待俠盜獵車手 VI(GTA 6)遊戲嗎?GTA 6 預計將會在 2025 年登陸 PlayStation 5
及 Xbox Series X/S 等平台,但想必有許多人早已等不及,看到可能可以下載的點,完
全不在意安全性就按下下載。但你下載的不太可能是 GTA 6,而是一款會竊取你敏感個資
的惡意程式。
據 Moonlock 安全研究人員發現,現在網路上出現了一款聲稱是 GTA 6 的 macOS 惡意軟
體,一旦受害者安裝了這款應用程式,軟體就會執行一種相當聰明的技術來竊取的你的敏
感資訊,像是從用戶本地端鑰匙圈提取密碼等。
Moonlock 發現的新惡意軟體樣本,是密碼竊取軟體(PSW)的變種,這是一種木馬惡意程
式,只在從受感染的電腦中收集登入名稱與密碼,並透過遠端連線或電子郵件的方式來發
送給犯罪分子。
這種惡意軟體會將自己偽裝成 GTA 6 副本或 Notion 的盜版版本,再透過現在常見的社
交工程技術來博取受害者信任,進一步誘導他們下載惡意軟體。
值得注意的是,現在所有 Mac 都安裝了 macOS Gatekeeper,這項安全功能會在後台運行
,以防用戶從網路上下載可能包含惡意軟體的未簽名應用程式。但是其實用戶只需要右鍵
按一下 DMG 檔案,並按下「開啟」即可覆蓋此一安全功能。犯罪份子會透過包含指導使
用者如何開啟惡意檔案的圖片來跳過 Mac 的安全機制。
執行後,DMG 會釋出一個名為 AppleApp.txt 的 Mach-O 檔案。隨後,AppleApp 會向源
自俄羅斯 IP 位址的特定 URL 發起 GET 請求;如果連線成功,就會開始下載部分混淆
的 AppleScript 和 Bash 有效負載。這個有效負載繞過檔案系統,直接從應用程式記憶
體執行。
執行時有效負載會使用多方面的方法來實現其惡意目標,按照順序分別是:
釣魚憑證
針對敏感數據
系統分析
資料外洩
由於只能透過使用者的系統密碼才能存取畚箕鑰匙圈資料庫,因此這款應用程式執行了第
二種巧妙技術,其將部署一個虛假的幫助應用程式安裝視窗,進一步利用信任並誘騙用戶
洩漏密碼。
研究人員指出,惡意軟體會精準地搜尋系統目標,從當下流行的網頁瀏覽器(如 Chrome
、Firefox、Brave、Edge、Opera 和 OperaGX)中找尋有價值的資料,像是 cookie、表
單歷史紀錄,與登入憑證。
另外,惡意軟體也會從 FileZilla、macOS 鑰匙圈資料庫與加密貨幣錢包中尋找最新的伺
服器清單。
惡意軟體也會使用更複雜的 AppleScripts 在使用者的主目錄中建立一個秘密資料夾。在
這裡任何收集到的登入名稱、密碼和金鑰都會儲存起來,等待網路犯罪分子控制的外部伺
服器從受感染系統中提取資料。
那麼要如何防範這種事情發生在自己身上?
雖然現在大約只有 6% 的惡意軟體是針對 Mac 用戶,但實際上威脅者已經比以往都更積
極地針對 macOS,使用者保持警惕並使用常見的網路應用程式非常重要。在安裝非 App
Store 應用程式前要該要謹慎,且盡可能地調查清楚是否安全,且在任何情況下都不應該
按照指示繞過 Gatekeeper;請小心謹慎地看待任何系統提示或敏感資訊請求。要讓自己
的裝置與應用程式都維持在最新版本狀態,以防最新的威脅與漏洞。
https://infosecu.technews.tw/2024/04/01/faje-gta-6-macos-stealer/
研究人員發現偽裝成 GTA 6 的 macOS 惡意軟體
作者 邱 倢芯 | 發布日期 2024 年 04 月 01 日 14:41 |
研究人員發現偽裝成 GTA 6 的 macOS 惡意軟體
期待俠盜獵車手 VI(GTA 6)遊戲嗎?GTA 6 預計將會在 2025 年登陸 PlayStation 5
及 Xbox Series X/S 等平台,但想必有許多人早已等不及,看到可能可以下載的點,完
全不在意安全性就按下下載。但你下載的不太可能是 GTA 6,而是一款會竊取你敏感個資
的惡意程式。
據 Moonlock 安全研究人員發現,現在網路上出現了一款聲稱是 GTA 6 的 macOS 惡意軟
體,一旦受害者安裝了這款應用程式,軟體就會執行一種相當聰明的技術來竊取的你的敏
感資訊,像是從用戶本地端鑰匙圈提取密碼等。
Moonlock 發現的新惡意軟體樣本,是密碼竊取軟體(PSW)的變種,這是一種木馬惡意程
式,只在從受感染的電腦中收集登入名稱與密碼,並透過遠端連線或電子郵件的方式來發
送給犯罪分子。
這種惡意軟體會將自己偽裝成 GTA 6 副本或 Notion 的盜版版本,再透過現在常見的社
交工程技術來博取受害者信任,進一步誘導他們下載惡意軟體。
值得注意的是,現在所有 Mac 都安裝了 macOS Gatekeeper,這項安全功能會在後台運行
,以防用戶從網路上下載可能包含惡意軟體的未簽名應用程式。但是其實用戶只需要右鍵
按一下 DMG 檔案,並按下「開啟」即可覆蓋此一安全功能。犯罪份子會透過包含指導使
用者如何開啟惡意檔案的圖片來跳過 Mac 的安全機制。
執行後,DMG 會釋出一個名為 AppleApp.txt 的 Mach-O 檔案。隨後,AppleApp 會向源
自俄羅斯 IP 位址的特定 URL 發起 GET 請求;如果連線成功,就會開始下載部分混淆
的 AppleScript 和 Bash 有效負載。這個有效負載繞過檔案系統,直接從應用程式記憶
體執行。
執行時有效負載會使用多方面的方法來實現其惡意目標,按照順序分別是:
釣魚憑證
針對敏感數據
系統分析
資料外洩
由於只能透過使用者的系統密碼才能存取畚箕鑰匙圈資料庫,因此這款應用程式執行了第
二種巧妙技術,其將部署一個虛假的幫助應用程式安裝視窗,進一步利用信任並誘騙用戶
洩漏密碼。
研究人員指出,惡意軟體會精準地搜尋系統目標,從當下流行的網頁瀏覽器(如 Chrome
、Firefox、Brave、Edge、Opera 和 OperaGX)中找尋有價值的資料,像是 cookie、表
單歷史紀錄,與登入憑證。
另外,惡意軟體也會從 FileZilla、macOS 鑰匙圈資料庫與加密貨幣錢包中尋找最新的伺
服器清單。
惡意軟體也會使用更複雜的 AppleScripts 在使用者的主目錄中建立一個秘密資料夾。在
這裡任何收集到的登入名稱、密碼和金鑰都會儲存起來,等待網路犯罪分子控制的外部伺
服器從受感染系統中提取資料。
那麼要如何防範這種事情發生在自己身上?
雖然現在大約只有 6% 的惡意軟體是針對 Mac 用戶,但實際上威脅者已經比以往都更積
極地針對 macOS,使用者保持警惕並使用常見的網路應用程式非常重要。在安裝非 App
Store 應用程式前要該要謹慎,且盡可能地調查清楚是否安全,且在任何情況下都不應該
按照指示繞過 Gatekeeper;請小心謹慎地看待任何系統提示或敏感資訊請求。要讓自己
的裝置與應用程式都維持在最新版本狀態,以防最新的威脅與漏洞。
作者: cchh179 (howie) 2024-04-01 18:35:00
macos 也不跑動gta6ㄅ
作者: ltytw (ltytw) 2024-04-01 18:38:00
容量多少 他要怎麼把自己灌水到幾百GB?
作者: f9190 (F9190) 2024-04-01 19:02:00
overlay塞一塞就有了啊
作者: guogu 2024-04-01 19:27:00
gta5就沒mac版了 gta6也說會先上主機 這樣還信的真是天才
作者: KudanAkito (司令官 私がいるじゃない) 2024-04-01 20:34:00
怎麼不偽裝成黑白妹
繼續閱讀
[討論] 反AI的是什麼心態l2022134679[愚人] 葛皇性轉wrh810701[閒聊] yanaginagi :想喝喝看有加入草仔粿的飲jerry00116Re: [閒聊] 七龍珠後面的戰力通膨也太扯monmo[閒聊] 小說這媒體對於受眾的優勢在哪?thesonofevil[討論] [Vtub] Hololive 晚間直播單 (1130401)timsun105Re: [閒聊] 人類對AI的恐懼其實是庸人自擾吧giorno78[愚人] GGST 新角色 -- malcoln myersjpopaholic[閒聊] 可愛忍狐和切嚕小破箱卒業crazypitch[閒聊] 上低音號看到第10話覺得怪怪的Katsuyuki118
