Mac 木马“Proton”曝光:代码有签名、黑市售价 5 万美金
发布日期:
2017-03-15
来源:
cnbeta
转载地址:
http://www.cnbeta.com/articles/tech/592743.htm

安全研究人员已经找到了一款名叫“Proton”恶意软件的新型木马的蛛丝马迹,其声称拥有如假包换的苹果代码签名,并在黑客论坛(以及线上犯罪活动)中大肆叫卖。显然,在俄罗斯网络犯罪论坛上曝光的这款远程访问木马(RAT),已经将目标瞄向了曾经不那么引人关注的 macOS 系统。安全企业 Sixgill 指出,其采用 Objective C 语言编写,无需依赖其它资源以运行,受害者将面临极大的风险。

        兜售这款木马的制作者宣称:“这是一款‘FUD’监视与控制解决方案,让你几乎可以在目标 Mac 设备上做任何事”。在获得 root 访问权限之后,它可以执行如下操作,包括但不限于:
        键盘记录、上传和下载文件、截屏、访问摄像头、以及 SSH 和 VNC 连接。
        此外它还声称可以向受害人呈现一个定制窗口,以索取更多信息(比如信用卡号码)。
        显然,不仅仅是用户本地存储的数据将面临风险。研究人员指出,该木马还可以获得 iCloud 的访问权限 —— 即使用户已经启用了两步验证。

        更可怕的是,Proton 恶意软件的制作者竟然获得了苹果的代码签名,从而可以大摇大摆地绕过官方严格的第三方软件过滤机制。照此看来,要么是制作者篡改了苹果开发者 ID、不然就是窃取的相关凭证,否者不应该这么轻易地得逞。
        此外,Sixgill 认为该恶意软件或许利用了 macOS“此前未修补的一个零日漏洞”来获得目标系统的 root 权限,因此该恶意软件的使用者仍需自行通过一个自定义名称(或图标)来掩饰。当然,在此之前,攻击者还得先设法引诱受害人去下载和安装该恶意软件。
        有趣的是,该木马制作者竟然给“潜在客户”打了个折扣价 —— 原价 100 比特币 / 无限安装授权数(约 12.6 万美元 / 合 87.12 万 RMB),现‘仅售’40 比特币(约 5.04 万美元 / 合 34.85 万 RMB);或者也可以支付 2 比特币(约 2512 美元 / 合 17365 元 RMB)以获得单份安装授权。