恶意软件和威胁新“Turtle”macOS 勒索软件分析

专门研究 Apple 产品的著名网络安全研究员 Patrick Wardle 对一种名为 Turtle 的新 macOS 勒索软件进行了分析。

Wardle 的分析表明，Turtle 勒索软件目前并不复杂，但该恶意软件的存在表明网络犯罪分子继续表现出针对 macOS 用户的兴趣。

Turtle 勒索软件的版本似乎也是针对 Windows 和 Linux 系统创建的。

VirusTotal 上的几家供应商已经将 Turtle 检测为潜在威胁，这对于针对 macOS 的新恶意软件来说并不常见，但可能可以通过与 Windows 版本的相似性来解释，Windows 版本存在众包 YARA 规则。

该恶意软件是用 Go 开发的，根据二进制文件中发现的字符串，“Turtle”似乎是其作者给出的名称。

该勒索软件旨在加密受感染系统上的文件。不过，现阶段它似乎并未对 macOS 用户构成重大威胁。

首先，恶意文件是使用临时签名进行签名的，并且未经 Apple 公证，这意味着它将被 Gatekeeper 阻止，除非它是通过漏洞部署或由受害者明确允许运行的。

此外，虽然勒索软件能够加密文件，但加密密钥是可以恢复的，解密文件并不困难。

至于其起源，沃德尔并未将 Turtle 勒索软件归因于特定的威胁行为者，但确实注意到发现了各种用中文编写的字符串，其中包括翻译为“加密文件”的字符串。

“当然，不言而喻，你的文件被勒索很糟糕！但好消息是，在这种情况下，普通 macOS 用户不太可能受到此 macOS 样本的影响，”Wardle 说。“尽管如此，勒索软件作者已将目光投向 macOS，这一事实应该让我们停下来担心，并首先催化检测和阻止此（以及未来）样本的转变！”