Zi 字媒體

摘要：安全研究人員已經找到了一款名叫「Proton」惡意軟體的新型木馬的蛛絲馬跡，其聲稱擁有如假包換的蘋果代碼簽名，並在黑客論壇（以及線上犯罪活動）中大肆叫賣。顯然，在俄羅斯網路犯罪論壇上曝光的這款遠程訪問木馬（RAT），已經將目標瞄向了曾經不那麼引人關注的 macOS 系統。安全企業 Sixgill 指出，其採用 Objective C 語言編寫，無需依賴其它資源以運行，受害者將面臨極大的風險。兜售這款木馬的製作者宣稱：「這是一款『FUD』監視與控制解決方案，讓你幾乎可以在目標 Mac 設備上做任何事」。在獲得 root 訪問許可權之後，它可以執行如下操作，包括但不限於：鍵盤記錄、上傳和下載文件、截屏、訪問攝像頭、以及 SSH 和 VNC 連接。此外它還聲稱可以向受害人呈現一個定製窗口，以索取更多信息（比如信用卡號碼）。顯然，不僅僅是用戶本地存儲的數據將面臨風險。研究人員指出，該木馬還可以獲得 iCloud 的訪問許可權 —— 即使用戶已經啟用了兩步驗證。更可怕的是，Proton 惡意軟體的製作者竟然獲得了蘋果的代碼簽名，從而可以大搖大擺地繞過官方嚴格的第三方軟體過濾機制。照此看來，要麼是製作者篡改了蘋果開發者 ID、不然就是竊取的相關憑證，否者不應該這麼輕易地得逞。此外，Sixgill 認為該惡意軟體或許利用了 macOS「此前未修補的一個零日漏洞」來獲得目標系統的 root 許可權，因此該惡意軟體的使用者仍需自行通過一個自定義名稱（或圖標）來掩飾。當然，在此之前，攻擊者還得先設法引誘受害人去下載和安裝該惡意軟體。有趣的是，該木馬製作者竟然給「潛在客戶」打了個折扣價 —— 原價 100 比特幣 / 無限安裝授權數（約 12.6 萬美元 / 合 87.12 萬 RMB），現『僅售』40 比特幣（約 5.04 萬美元 / 合 34.85 萬 RMB）；或者也可以支付 2 比特幣（約 2512 美元 / 合 17365 元 RMB）以獲得單份安裝授權。