目前,一場複雜且令人震驚的 Mac 惡意軟件攻擊正在以 Loom、LedgerLive 和 Black Desert Online 等流行應用程序的免費版本為幌子進行。
這種組織嚴密的攻擊結合使用看似合法的谷歌廣告和網絡釣魚電子郵件來引誘受害者。該惡意軟件活動是由 MacPaw 內的網絡安全組織 Moonlock 發現的,該組織以其 CleanMyMac 應用程序而聞名。最初,該威脅似乎僅限於模仿 Loom(一種廣泛使用的屏幕錄製工具),但進一步調查顯示,目標範圍更廣。
Moonlock Lab 的調查始於他們注意到一則宣傳似乎是官方 Loom 應用程序的 Google 廣告。該廣告看起來合法,吸引用戶點擊可信來源。然而,點擊該鏈接後,用戶會被重定向到一個與 Loom 官方網站幾乎相同的網站,該網站託管在 Smokecoffeeshop[.]com 上。該網站提示用戶下載包含竊取惡意軟件的惡意文件。該活動不僅限於 Loom,還使用 Figma、TunnelBlick (VPN)、Callzy 等其他流行應用程序的假冒版本以及一個命名可疑的文件 BlackDesertPersonalContractforYouTubepartners[.]dmg 來分發惡意軟件。
尤其令人擔憂的是,該惡意軟件能夠用有害版本替換正版應用程序,例如加密貨幣管理器 LedgerLive。一旦下載了惡意克隆,攻擊者就有可能訪問並耗盡受害者的加密貨幣錢包。此惡意版本旨在密切模仿合法應用程序的外觀和功能,使用戶難以檢測到妥協。 Moonlock 實驗室的調查結果證實,竊取者能夠獲取文件、硬件信息、密碼、瀏覽器數據和鑰匙串轉儲憑據。
該活動似乎是由一個組織嚴密的組織“瘋狂邪惡”精心策劃的。該組織使用 Google 贊助的欺騙性 URL 來誘騙用戶下載有害軟件。 Moonlock Lab 的調查發現,一個 IP 地址與一個政府實體關聯,該實體具有高度惡意軟件關聯性,並且有大量文件被標記為惡意軟件。從 2024 年 7 月 23 日開始,該 IP 地址託管了該活動中與 macOS 相關的文件。
為了保護自己,Mac 用戶應該採取主動措施。下載文件時務必仔細檢查網址,即使是來自 Google Ads 或熱門搜索結果等受信任來源。使用可靠的反惡意軟件工具(例如帶有 Moonlock Engine 的 CleanMyMac X)定期掃描您的設備有助於確保不存在惡意軟件。此外,保持軟件最新對於防範已知漏洞至關重要。用戶還應該謹慎對待來自未知發件人的提供合同或交易的電子郵件,以防止網絡釣魚計劃。
更多閱讀:SparkCat 惡意軟件如何從 iOS 和 Android 上受感染的應用程序中竊取加密貨幣
Apple 的內置安全功能 Gatekeeper 和 XProtect 提供針對惡意軟件的額外保護,並且默認啟用。
(通過月鎖實驗室)