欢迎进入Allbet官网。Allbet官网开放Allbet登录网址、Allbet开户、Allbet代理开户、Allbet电脑客户端、Allbet手机版下载等业务。

首页快讯正文

usdt法币交易api(www.caibao.it):macOS的最新恶意软件,有点像瘟疫公司的“猥琐流”

admin2021-03-0926

USDT第三方支付

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

原题目:macOS的最新恶意软件,有点像瘟疫公司的“猥琐流”

今年2月初,平安机构 Red Canary 在苹果电脑操作系统 macOS 上发现了一种全新的恶意软件。

固然,在号称加倍平安的 macOS 上泛起病毒/恶意软件,算不上危言耸听。不外,平安工程师们对这款恶意软件抱有很大的兴趣,主要在于它有三个稀奇突出的特征:

1)M1 处理器原生支持;2)使用 Java 执行;3)该恶意软件现在缺乏负载 (payload),也即现实对用户的系统造成负面影响的内容。

Red Canary 将其命名为 Silver Sparrow(银雀)。

虽然凭据前述第三条来看,该恶意软件现在没有什么值得称道的危害性,不外凭据平安公司 Malwarebytes 追踪,Silver Sparrow现在已经在全球局限熏染过靠近4万台电脑(主要集中于美国)——这只是该机构能够追踪到的终端,追踪不到的已熏染电脑可能更多。

更主要的是,该恶意软件包罗了对苹果 M1 ARM64 架构的原生支持,而考虑到苹果正式推出 M1 处理器电脑产物也只是几个月前的事情——Silver Sparrow 潜在的危害水平不容小觑。

足以

现在,Silver Sparrow 已经存在两个版本,均伪装成 macOS 软件安装包 (.pkg) 的样子。其中第二个版本 update.pkg 加入了对 ARM64 架构的支持。

正如前面提到,M1 兼容性让这款恶意软件异常引人注目,由于 M1 仍然是苹果电脑产物中异常新的一个平台,而针对该平台的平安威胁现在少之又少。

让我们继续来看这个奇异的恶意软件。它的两个版本安装包,接纳的都是 Java 代码,而且利用了macOS 安装器的 JavaSciprt API。Red Canary 在一篇博客文章中指出,正是这一点让 Silver Sparrow 在已知常见的 macOS 病毒/恶意软件当中独树一帜。

在 macOS 上,用户不小心点击恶意广告后可能会下载到病毒或恶意软件,体现为 .pkg 或 .dmg 安装包花样,通常会伪装成 Flash Player 的安装器或升级包。这些恶意软件的工作方式是使用 preinstall 或 postinstall(安装前/安装后)脚原本执行下令。

而在 Silver Sparrow 上,这个全新的恶意软件直接用 Java 函数来执行下令,这样的行为是在苹果 macOS 安装器原生的 Java API 支持下才得以实现。这也是平安人士首次发现接纳这一方式完成安装的 macOS 恶意软件。

正是因此,恶意软件内含的 Java 代码可以在用户点开安装器并确认安装(见下图)之后就立刻执行。这意味着,若是你没有走完安装流程,关掉了安装器,也没有用,恶意代码已经被执行了,你的电脑已经被 Silver Sparrow 熏染了……

在熏染乐成之后,用户的应用列内外会泛起一个应用,凭据恶意软件版本的差别,这个应用的名字可能叫 tasker 或者 updater。跟进 Silver Sparrow 的平安机构都以为,这个应用没有任何内容也没有什么特殊功效,看起来像是占位用的。

前面提到,这个恶意软件现在不含任何负载,也即会对用户系统造成负面影响的代码之类的器械。这令平安职员感受异常新鲜……让我们来进一步看看这到底是怎么一回事:

熏染之后,恶意软件每个小时都市跟一个 AWS S3 服务器联系,而服务器会返回一些数据。这些返回数据中包罗一个下载链接 "downloadUrl",但停止现在,平安机构在所有已熏染电脑上看到的下载链接都是空的:

在安装完成后,Silver Sparrow 会回调一个域名而且汇报两组数据,其中包罗了原始安装包下载的链接。这在恶意软件领域对照常见,意味着其开发者希望追踪软件的分发渠道。

不仅如此,这个恶意软件回调的域名利用了 Akamai 的 CDN 服务。Red Canary 就此指出,这可能意味着恶意软件的开发者对云服务的明白甚高,由于 AWS 和 Akamai 是天下顶级的云服务提供商,大部门机构通常不会对 它们的域名举行接见封锁。“这一发现进一步证实,我们面临的是一个手艺异常成熟的对手,”Red Canary 写道。

,

Usdt第三方支付平台

菜宝钱包(www.caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

,

平安工程师 Erika Noerenberg 对 Silver Sparrow 举行拆解,发现它的第一个版本(只有 x86 支持)分发的只是一句占位内容。这句话想必人人也已经很熟悉了:

而第二个版本加入了 M1 ARM64 架构支持,分发的同样是一句占位内容,看起来同样人畜无害:

除了上述这些占位内容之外,Silver Sparrow 完全没有任何其它已知的,会对用户系统造成任何损害的代码。

更蹊跷的是,平安工程师发现,Silver Sparrow 会定期举行内陆文件检查,若是在某个路径下找到某个文件,就会完全删除其在用户电脑上的所有存在。

macOS 在 Library 路径下默认不存在这个文件,Red Canary 也不清楚在什么样的情形下这个文件会泛起。这个文件有可能是 Silver Sparrow 的开发者想要制止的器械,也有可能是该软件生命周期的一部门,在完成任务之后消灭痕迹的机制。

“这一(自我消灭)机制的存在也是个谜,”Red Canary 在文章中写道。

Malwarebytes 追踪显示,在已知全天下数万台已经熏染 Silver Sparrow 的电脑上,停止现在没有任何一台电脑下载了任何可能造成实质危害的负载。

“这款恶意软件的终极目标是个谜。我们没有办法可以确切领会它究竟要分发什么样的负载。”Red Canary 写道。

这不禁令人想起了著名游戏《瘟疫公司》(Plague Inc.) 的一种经典派别:猥琐流。

《瘟疫公司》让玩家饰演病毒,最终目标是熏染全天下,可以在熏染的过程中不停获得升级点数,升级自己的流传力、抗药性和致死性。

而猥琐流的基本思路就是只管先升满流传“猥琐发育”,让病毒悄无声息地熏染全天下,然后把攒下的点数所有扔到致死能力有关的先天树上,一瞬间发作杀死所有人。

从现在已知的情形来看,Silver Sparrow 和《瘟疫公司》的猥琐流玩法(至少跟前期“猥琐发育”的部门)十分相似。它的手艺成熟,熏染数目已经较高,而且已经展现出了开发者对于 macOS 系统以及依赖云服务的分发机制有较高的领会。

虽然今天的 Silver Sparrow 人畜无害,但谁也无法保证它在未来不会突然发作,造成严重的结果。

现在平安职员不清楚 Silver Sparrow 的真实开发者是谁。不外苹果公司在收到讲述之后,已经关闭了其安装包的证书拥有者 Saotia Seay 和 Julie Willey 的开发者账户。

若是你是 macOS 用户,接下来可能会想要知道:我若何确定自己是否有被 Silver Sparrow 熏染过呢?

谜底很简单。若是你能在以下路径内找到对应的文件,说明你的电脑已经被熏染(过)了:

若是这些文件存在的话,你需要在电脑上找到所有已知和 Silver Sparrow 有关的文件,而且在 Terminal 里用 rm 下令完全删除它们。

至于详细需要删除哪些文件,你可以到 Red Canary 的网站上查看(点开链接后,移步到 "Indicators of Compromise" 小节,可以找到所有文件及其路径)。若是你对 macOS 文件系统和 Terminal 下令不熟悉的话,建议找专业人士代你操作。

删除完相关文件之后,重启电脑就好啦。

网友评论

最新评论