苹果的由于恶意软件即服务平台和人工智能驱动的威胁,2024 年将成为 Mac 安全的转折点。
多年来,macOS 一直以能够抵御恶意软件而闻名,但 2024 年却出现了不同的情况。由于恶意软件即服务 (MaaS) 平台甚至人工智能的兴起,针对 macOS 用户的恶意软件激增,正在改变这种说法。
MacPaw 的网络安全部门 Moonlock 在其报告中透露macOS 威胁报告令人担忧的趋势正在将苹果平台变成网络犯罪分子的有利可图的目标。该报告深入探讨了攻击者正在使用的不断演变的策略,从廉价的即插即用恶意软件套件到复杂的人工智能生成的绕过关键保护的漏洞。
然而,许多攻击并不是由于系统缺陷造成的。相反,它们是由于用户有意或无意地禁用内置保护措施或被欺骗安装恶意软件而导致的。
由于 Mac 的用户基数较低,网络犯罪分子过去在很大程度上忽视了 Mac,但现在他们将该平台视为除了永远受到困扰的 Windows 之外的另一个机会。令人不安的是,利用 macOS 漏洞的工具变得越来越容易使用。
十年前,为该平台创建恶意软件需要深厚的技术技能和计算资源。现在,AMOS Stealer 等恶意软件即服务平台正在降低进入门槛。
每月只需花费 1,500 美元,即使是没有经验的黑客也可以购买一个工具包,自动窃取用户数据的过程。负担能力打开了闸门。
推动恶意软件激增的另一个因素是人工智能的使用。正如 Moonlock 透露的那样,暗网论坛上正在使用 ChatGPT 等人工智能工具来引导黑客逐步完成恶意软件创建过程。
恶意软件故障。图片来源:月锁
这些工具可以生成脚本、将恶意软件打包到安装文件中,甚至教攻击者如何绕过 macOS 的 Gatekeeper 保护。人工智能辅助的恶意软件甚至可以让新手部署几年前还无法实现的威胁。
攻击者通过社会工程和技术操纵绕过 macOS 的 Gatekeeper 保护,利用用户信任和系统漏洞。这些网络犯罪分子通过虚假提示或声称安装合法软件的详细说明来欺骗用户禁用 Gatekeeper。
伪装成可信应用程序或系统更新的恶意软件会覆盖安全警告。在某些情况下,攻击者会获取或窃取有效的 Apple 开发者证书来对其恶意软件进行签名,从而绕过 Gatekeeper 的验证。
2024 年 Mac 恶意软件
Mac 威胁已占主导地位和勒索软件多年。这些工具旨在惹恼或勒索用户,有效期至 2024 年。
由于用户意识的提高和更好的保护,广告软件活动的利润较低。 macOS 上的勒索软件尚未达到与 Windows 相同的复杂程度或成功程度。
相反,黑客正在转向 Stealers——一种旨在悄悄收集密码、cookie 和加密货币钱包详细信息等敏感数据的恶意软件。
在,安全研究人员发现了“Cthulhu Stealer”,这是一种新的 macOS 恶意软件,以每月低至 500 美元的价格出售给网络犯罪分子。该恶意软件将自己伪装成 Grand Theft Auto IV 或 CleanMyMac 等合法软件,以诱骗用户下载并安装它。
安装后,它会提示用户输入敏感信息,并将其传输给攻击者。 Cthulhu Stealer 与“Atomic Stealer”有相似之处,建议开发人员重用该代码。
八月的另一名盗窃者是“它从受感染的系统中收集了大量信息,包括系统详细信息、密码和特定文件类型。它使用识别虚拟环境和 API 等规避技术来避免检测,尤其是在俄语系统上。
该恶意软件作为高级工具在地下论坛上分发,价格高达每月 3,000 美元,这表明其复杂性以及严重网络犯罪分子的意图。然而,没有明确迹象表明苹果已经修补了 Banshee。
与此同时,在,网络安全专家发现了一种新的 macOS 威胁,称为 HZ 远程访问工具 (HZ RAT)。该恶意软件授予攻击者对受感染系统的完全管理控制权。
HZ RAT 通常通过 OpenVPN Connect 等流行应用程序的篡改版本进行分发。安装后,它会安装额外的软件、捕获屏幕截图、记录击键,并从微信和钉钉等应用程序访问用户数据。
该恶意软件还通过创建计划任务或修改启动脚本来建立持久的系统访问,确保它在重新启动后重新加载。它与中国的指挥和控制服务器通信,传输窃取的数据并接收指令。
HZ RAT 允许攻击者安装额外的有效负载,升级部署勒索软件、泄露敏感数据或在僵尸网络中使用受感染系统等活动。 HZ RAT 的多阶段功能使其成为一种多功能且危险的工具。
了解攻击者如何利用漏洞及其不断演变的方法是保持保护的一种方法。
漏洞及攻击方法
黑客可以使用技巧来说服用户手动覆盖 macOS 安全措施,例如提供看似合法的虚假提示。
使用 ChatGPT 攻击恶意软件。图片来源:月锁
社会工程完全绕过了 Gatekeeper,一旦安装恶意软件就可以不受控制。对于长期信任 macOS 内置保护的用户来说,这是一个警钟,需要仔细检查每个弹出窗口和提示。
除了社交工程之外,攻击者还利用强大的工具在 macOS 设备上站稳脚跟。能够持续访问系统的后门恶意软件在 2024 年的活动大幅增加。
这些后门通常与漏洞利用(攻击者用来破坏系统防御的软件漏洞)结合使用。 Moonlock 的数据显示,这些协同攻击急剧增加,特别是在 2024 年 4 月的定向活动期间。
Apple 解决了 Moonlock 的 2024 年 macOS 威胁报告中强调的漏洞。 2024年11月,它发布了iOS 18.1.1和macOS Sequoia 15.1.1的更新,以修补JavaScriptCore和WebKit中的零日漏洞(CVE-2024-44308和CVE-2024-44309)。
此外,Apple 于 2024 年 9 月解决了一个漏洞,该漏洞允许恶意行为者使用特制的 ZIP 存档绕过 Gatekeeper 保护。
虽然窃取者数量呈上升趋势,但与复杂的 Windows 攻击相比,其有效性有限。 Mac 的架构和默认保护给黑客带来了巨大的障碍。
大多数 Stealers 缺乏先进的混淆和持久性机制,依赖于基本的用户错误。对于保持系统更新、使用 Mac App Store 并禁用安全功能的用户来说,风险较低。
苹果认真对待这些威胁并发布了更新“Control Click”和针对 Gatekeeper 绕过漏洞的补丁。结合 XProtect 的改进和定期系统更新,Mac 的防御能力依然强大。
如何保持安全
2024 年 macOS 恶意软件场景非常复杂。一方面,Cthulhu Stealer 和 AMOS Stealer 等工具听起来令人震惊。但如果你仔细观察,就会发现并没有太多大规模攻击的证据。
大多数活动涉及小规模事件或理论上的风险,而不是广泛的损害。也就是说,人们对 macOS 安全性的看法正在发生转变。
但是,仍然可以保护自己。许多攻击依赖于社会工程,诱骗用户绕过自己的安全设置。 Mac 上的保护意味着仔细检查每个系统提示、避免可疑下载并避开未知链接。
用户还应该依赖可信来源(例如 Mac App Store)来下载软件并仔细检查已安装应用程序请求的权限。
保持软件最新是安全的另一个基石。苹果定期发布补丁来解决漏洞。安装更新可确保您的系统受益于针对主动攻击的最新防御。
卖阿莫斯。图片来源:月锁
投资额外的保护是值得考虑的。端点检测和响应 (EDR) 软件或信誉良好的防病毒解决方案等工具可以提供额外的防御层。
教育也很重要。随时了解最新的安全威胁可以使用户做出更好的决策。
Moonlock 报告揭示了攻击者看待 macOS 的方式发生了转变。随着该平台用户群的增长,它自然成为网络犯罪分子更大的目标。
这并不是因为 macOS 本质上不如以前那么安全,而是因为攻击者看到了针对它的更多价值。绕过 macOS 保护的工具和技术也变得更加容易获取,即使是经验不足的攻击者也能更轻松地攻击用户。
一个关键要点是这些攻击在多大程度上取决于用户行为。许多成功的违规行为并不依赖于高级漏洞,而是利用绕过 Gatekeeper 等保护措施或落入网络钓鱼骗局的用户。
AMOS 和 Cthulhu Stealer 等恶意软件靠欺骗用户授予权限或下载看似合法的软件而蓬勃发展。随时了解威胁、避免不受信任的下载以及启用系统保护对于 macOS 用户至关重要。
