上周CheckPoint安全研究人員在 macOS 系統,發現一款惡意軟件 OSX.Dok,采用釣魚攻擊方式,中招的用戶會收到偽裝來自國外shui wu 局的郵件,要求在附件中填入自己的詳細信息,而當你完成這些操作,此時 OSX.Dok 已經默默加入電腦的啟動項,且每次都是自動運行。當用戶每次訪問互聯網,使用 https 連接訪問安全服務器等,都會被監控。
而最近 Malwarebytes 研究員 Adam Thomas 又發現了一款新的 Mac 惡意軟件 OSX.Bella。這款惡意軟件的傳播方式與 OSX.Dok 完全不同,但用戶一旦安裝這款惡意軟件,它對用戶造成的危害卻一點都不會比 OSX.Dok 的弱。
OSX.Bella 的安裝方式和 OSX.Dok 是一樣的,設備被感染之后,該惡意軟件就會安裝開源后門 Bella。它還會復制 /Users/Shared/AppStore.app,提醒用戶應用已經損壞。該惡意軟件不會顯示全屏應用更新,強制用戶輸入密碼,否則用戶 Mac 不可用,但是它會關閉應用,大約一分鐘之后會把應用刪除掉。
對于企業用戶來說,OSX.Bella 的威脅可能會比較大,它能夠泄露企業的大量敏感數據,包括密碼、代碼簽名證書和硬件位置。
好在目前 OSX.Bella 泄露代碼簽名證書的功能已經被禁用,所以用戶可以不用擔心。另外 Malwarebytes 建議用戶更換自己的密碼,因為用戶設備很有可能再此之前就已經被感染了。