8月28日消息,据科技媒体9to5Mac报道,苹果设备安全管理公司Mosyle近日发现一款名为“JSCoreRunner”的新型Mac恶意软件。该恶意软件通过伪装成PDF转换工具的虚假网站“fileripple[.]com”进行传播,目前已成功逃避VirusTotal平台上所有安全检测,属于零日攻击。
攻击者通过虚假PDF转换网站诱导用户下载恶意程序。该软件采用双阶段感染模式:第一阶段安装包“FileRipple.pkg”表面显示为正常PDF工具,实则后台运行恶意代码。虽然苹果已吊销其开发者证书,但恶意载荷实际隐藏在第二阶段安装包“Safari14.1.2MojaveAuto.pkg”中。
由于第二阶段安装包未进行签名,因此能够绕过Gatekeeper默认保护机制。安装后会首先与远程服务器通信确认安装,随后去除隔离属性并设置主程序路径,全程在用户无感知的情况下完成系统感染。
该恶意软件主要针对Google Chrome浏览器,会扫描用户目录下的所有配置文件,修改搜索引擎模板,将搜索和新标签页重定向至伪造搜索服务。同时还会隐藏崩溃日志和会话恢复提示,极大降低用户察觉风险。
浏览器被劫持后,用户可能被导向钓鱼网站、恶意广告或欺诈页面,面临键盘记录、数据窃取和财务诈骗等风险。Mosyle已提供相关文件哈希值,建议用户采用多层安全策略并加强安全意识教育。
(本文基于9to5Mac报道及Mosyle安全报告整理)
