卡巴斯基通报针对苹果Mac设备的新型恶意软件XLoader

卡巴斯基安全实验室近日在其官方博客上披露了一种针对苹果macOS设备的新型恶意软件家族，该恶意软件家族被命名为“XLoader”。该实验室提醒苹果Mac用户在下载破解软件时要格外小心，因为这些软件可能携带有该恶意软件家族的成员。

据报告介绍，这种新型恶意软件家族具有高度的复杂性和隐蔽性，它们主要通过伪装成各种知名macOS软件的破解版来分发，例如Adobe Photoshop、Microsoft Office等。用户在下载并安装这些恶意 PKG 文件之后，会被诱导输入管理员密码，从而授予恶意软件设备管理权限。

该恶意软件家族在获得用户许可之后，会使用一种名为“AuthorizationExecuteWithPrivileges”的技术，运行相关的可执行文件。这个技术可以让恶意软件以 root 权限执行任意命令，从而绕过 macOS 的安全机制。

然后，恶意软件会检查系统中是否存在Python 3，并在需要时进行安装。这个过程会给用户造成一种正常的应用程序打补丁的假象。

接下来，恶意软件会以 "apple-health [.] org" 为幌子与控制服务器联系，获取能够执行任意命令的 base64 编码 Python 脚本。这些脚本可以让恶意软件执行各种恶意活动，例如建立后门、收集用户信息、修改系统文件、窃取钱包等。

值得注意的是，攻击者使用了一种创新的方法来生成联系 URL。他们将两个硬编码列表中的单词与随机字母序列连接起来，每次都会生成一个独特的子域。例如，“apple-health [.] org”就是由“apple”和“health”两个单词以及一个随机字母序列组成的。

卡巴斯基专家指出，向DNS服务器发出的请求看似正常，但实际上是为了检索包含恶意有效载荷的TXT记录。DNS服务器的响应包括三个 TXT 记录片段，每个片段都以 base64 编码，并使用AES对信息进行加密，这些片段累积起来就形成了Python脚本。

该恶意软件家族可以建立后门，收集用户操作系统版本、应用程序、CPU 类型和外部 IP 地址等数据。此外该恶意软件还会修改系统文件，以确保恶意脚本即使在系统重启后也能保持激活状态。

据铋读网了解，恶意软件还会扫描比特币核心和Exodus钱包，将发现的钱包替换为篡改版本，从而向攻击者泄露重要信息。卡巴斯基安全实验室建议苹果 Mac 用户不要轻信破解软件的诱惑，尽量从官方渠道下载和安装软件，并使用可靠的安全产品来保护自己的设备和数据。