与 PC 和其他操作系统相比,MacOS 通常被认为在阻止恶意软件方面更有效。然而,事实并非如此。MacOS 与任何其他操作系统一样容易受到恶意软件威胁的攻击,这种误解可能导致您对恶意软件威胁不那么警惕。
作为证据,您需要注意一个名为 SpectralBlur 的新威胁,这是一种针对 Mac 的复杂后门恶意软件威胁,它能够在您甚至不知道它如何以及何时到达那里的情况下清除您的文件。
什么是 SpectralBlur?
SpectralBlur 是一种后门恶意软件,由来自朝鲜的黑客组织 Lazarus 创建。Lazarus一直是几起黑客攻击的幕后黑手,包括针对加密货币区块链工程师的KandyKorn。
在很长一段时间内,SpectralBlur 未被发现,因为 Mac 上的防病毒软件无法检测到它。直到 2023 年 8 月,它才被上传到 VirusTotal(一款病毒检测软件)发布了这种新的恶意软件威胁,并引起了网络安全社区的关注。它甚至被称为“2024 年的第一个恶意软件”。它最初由格雷格·莱斯内维奇(Greg Lesnewich)剖析。
SpectralBlur 有什么功能?
由于 SpectralBlur 是一种后门恶意软件,这意味着恶意软件不必通过正常的身份验证程序(大多数恶意软件都会被检测到),而是以多种方式进入您的系统。它可能是系统中的漏洞、网络钓鱼攻击、恶意链接/下载或其他策略。
Objective-See的安全研究员Patrick Wardle也分析了SpectralBlur,并得出了与Lesnewich类似的结论。安装后,黑客可以授予自己对 macOS 的远程访问权限。这使黑客能够访问您服务器上的文件和数据库。通过这种访问,他们可以远程告诉它做任何他们想做的事情,无论他们被忽视多久。
从将文件从您的计算机上传到他们的服务器,将文件从黑客的服务器下载到您的服务器,或删除您计算机上的文件,他们可以窃取您的敏感信息、文档、图像等,并将其用于各种目的。他们还可以部署其他恶意软件(同样,您不一定意识到这一点)。
SpectralBlur 如何进入我的系统,它是如何工作的?
一旦 SpectralBlur 获得初始访问权限,它就会使用伪终端来执行 shell 命令,这实质上意味着它可以在 macOS 系统上运行任何命令,就好像攻击者在实际使用计算机一样。它通过远程命令和控制 (C&C) 服务器,使用 RC4 加密的套接字通信来实现此目的。
由于此通信是加密的,因此安全系统难以检测和分析恶意软件的网络活动。这种加密通过屏蔽正在发送和接收的数据来保持隐藏,因为它对您的系统无害。当然,事实并非如此;它可能会在你不知情的情况下造成严重破坏。
