研究指出:多數的廣告軟體仍然會以 Mac 為目標

最新研究指出,Apple 的 Mac 電腦並不能完全免於惡意攻擊,除了一些主要民族國家的努力之外,從事不良行為的攻擊者,仍然繼續使用廣告軟體來感染 macOS 的作業系統,並以此來賺錢。 (註:廣告軟體是一個附帶廣告的電腦程式,以廣告作為盈利來源。)

而以管理 Apple 電腦及裝置聞名的供應商 Jamf,在過去的 30 天內發現了 Pirrit 及 Climpli 的這兩個廣告軟體的程式佔了絕大部分,而第三個程式 Shlayer,則在過去的一年中處於主導地位。身為聯盟行銷的一部分,這些程式通常是按照正常流程的步驟所安裝的,正因為他們不是直接的惡意軟體,所以不一定總是能被防毒軟體偵測到。

Jamf 的防護檢測代表 Jaron Bradley 提到,雖然部分公司並沒有將廣告軟體視為高風險威脅,但這些程式同時具有侵入性且具有攻擊性,而且他們會干擾工作。

除此之外,他還提到對於廣告軟體在 macOS 系統上的能力,對其使用者而言,不是一個好現象,使用者們在未來可能會面臨更複雜的嘗試。

Jaron Bradley 說道:「總而言之,macOS 上有很多廣告軟體相關的系列,如果這些廣告軟體可以透過基本的社交工程來侵入你的系統,那麼對更厲害的威脅行為來說,要入侵你的系統幾乎可以保證是沒有問題的了。」

研究報告特別強調,macOS 的系統並不是惡意軟體的主意目標,這是因為 Apple 內建的以簽署為基礎的攔截技術 XProtect,以及公司開發人員在開發 Apple 的應用程式時,會需要通過 Apple 驗證,因此在這樣嚴格的防護之下,普通的惡意軟體很難找到立足點。

然而,廣告軟體的定位則非常模糊,他們位在只為積極的行銷與完全徹底的詐欺之間,因此,通常都會允許它們在這樣的灰色地帶運作,Jamf 的研究人員說明,廣告軟體有感染 macOS 系統的風險。

上述三個廣告軟體的程式,皆展現了超越典型廣告軟體的能力,Pirrit 努力的向使用者投放廣告,慢慢的建立並取得對 macOS 系統的存取權限;在 macOS 系統上投放廣告軟體的 Shlayer 通常會偽裝成安裝程式,比如說現在已不再提供服務的 Adobe Flash Player,提醒使用者安裝,藉此來欺騙使用者,讓使用者忽略任何安全警告,誤以為是需要安裝外掛程式才能使用。

Jamf 的防護檢測開發人員 Stuart Ashenbrenner 在 Jamf Nation 開發者大會的簡報中表示:「關於 Mac 上惡意活動的部分,廣告軟體仍然在市場上屬於領先地位。多年以來,我們看到攻擊 macOS 的人越來越多且手法非常複雜,對 Mac 使用者來說,威脅也越來越大。」

Jamf 發現在過去的 30 天內,檢測到的前 13 個都是廣告軟體,雖然他們沒有具體說明 Mac 使用者看到廣告軟體與看到惡意軟體的相對數量為何,但安全防護公司 Malwarebytes 也發現,與部分的潛在附加軟體(PUPs,Potentially unwanted program)和廣告軟體相比,它們在所有的檢測量裡分別佔了 76% 及 22%,而 2020 年時,惡意軟體在 macOS 系統中佔了所有檢測量的 1.5%。

神秘的惡意軟體

儘管如此,駭客還是希望能超越廣告軟體,今年上半年,安全防護公司 Red Canary 在 29,139 個 Mac 端點上找到了一個名為銀雀的惡意軟體框架的安裝程式,這個惡意軟體的開發者已經將程式改寫為針對 Apple 最新發表的 M1 晶片架構來作攻擊,並將惡意軟體以一個通用的二進制軟體發放,但因為它沒有通過有效的驗證,因此攻擊被減弱了。

此外,根據 Red Canary 公司的說法,這個惡意軟體最初是透過什麼樣的方式進入這些系統的,仍然是個謎。

Red Canary 公司在一個部落格裡發表了一篇分析該程式的文章:「我們懷疑惡意的搜尋引擎會根據受害者瀏覽器中的網路連結引導他們下載 PKGs 檔(Mac 的檔案格式),在這種情況下,我們沒辦法確定導致下載的詳細原因是什麼。」

銀雀不是將它們程式碼寫在安裝檔裡,而是安裝在會經常開啟執行的程式裡,確保軟體已在使用者的系統裡運行,銀雀利用安裝檢查來安裝程式碼。

另外一個程式 XCSSET,則是會從 Mac 系統的應用程式中竊取敏感的使用者及開發人員的訊息,除了會從瀏覽器竊取密碼之外,XCSSET 還企圖使用 Apple 的 Xcode 來感染軟體專案。

Jamf 的 Bradley 還說,廣告軟體與惡意軟體的開發人員在針對如何攻擊 macOS 的防禦系統和繞過安全檢查的驗證過程方面,會變得越來越複雜。廣告軟體和惡意軟體的應用程式仍然可以取得 Apple 的簽署及認證,這種驗證,仍然沒有解決 Apple 生態系統的所有安全問題,這可以說是一個漏洞。

原文連結:https://www.darkreading.com/application-security/macs-still-targeted-with-adware-with-malware-rarely-seen