一种新型信息窃取恶意软件正通过伪装成合法的 DynamicLake UI增强工具 和生产力实用程序,甚至可能伪装成 Google Drive 桌面应用,针对 macOS 用户。
多阶段投放机制
Jamf 研究人员将其命名为 DigitStealer,该威胁异常复杂:
在运行前,一个完全在内存中执行的 bash 脚本会检查系统的国家/地区设置,若发现设备位于特定区域则终止运行。
它还会检查设备是否为虚拟机,以及是否运行在 Apple Silicon M2 或更新芯片 上(通过检测特定硬件功能)。
研究人员发现:“恶意软件避免在虚拟机、基于 Intel 的 Mac 上运行,无论有意还是无意,也不支持 M1 芯片系统——尽管 M1 同样属于 Apple Silicon 家族。相反,它针对 M2 或更高版本芯片引入的新 ARM 特性设备。”
若“判定”条件满足,脚本会获取四个独立 payload 并开始投放和运行:
- 第一个 payload:简单的 AppleScript 信息窃取器,诱导用户输入密码。一旦用户输入,它会窃取凭证、小型用户文件(文档、笔记等),并重置 macOS TCC 数据库(记录哪些应用被允许访问敏感数据或系统功能)。
- 第二个 payload:压缩并窃取多个主流浏览器数据、Keychain 数据库、VPN 配置、Telegram 的 tdata 文件夹(可用于劫持 Telegram 账户),以及 Ledger、Electrum、Exodus、Coinomi 等加密货币钱包文件。
- 第三个 payload:用恶意版本替换 Ledger Wallet/Ledger Live 加密货币应用的 app.asar 文件,使其连接到攻击者控制的服务器,本质上劫持钱包,允许攻击者拦截或操纵受害者的加密货币钱包数据。
- 第四个 payload:在目标系统上投放并加载 Launch Agent 以实现持久化,每次运行时从攻击者服务器动态获取 payload。最初,该最终 payload 是一个后门——具有完整 AppleScript 权限的 JavaScript for Automation(JXA),但攻击者可随意更改 payload。
诱骗用户运行“应用”
研究人员表示:“已发现的样本以未签名磁盘镜像 DynamicLake.dmg 的形式存在。进一步调查后,我们识别出与该活动相关的其他几个磁盘镜像。”
DynamicLake.dmg 通过 https[:]//dynamiclake[.]org 域名和网站分发,该网站模仿同名合法 macOS 工具的官方站点。
被诱骗访问此伪造网站的用户会被指示将文件(实为初始脚本)拖入 Mac 的 终端(Terminal),从而绕过 Gatekeeper 安全防护。
下载 Mac 应用时的注意事项
研究人员指出:“目前尚不清楚此特定变体的归属。但所用技术表明攻击者对 macOS 操作系统有深入了解,并持续专注于逃避检测。”
他们补充道,恶意软件作者不断滥用合法服务和分发方法,以绕过 macOS 安全控制并提高成功率。
过去几个月,攻击者创建了流行 Mac 应用的 GitHub 仓库伪造副本,并使用“拖入终端”技巧诱骗无防备用户运行恶意脚本(通常应用安装流程是拖入“应用程序”文件夹)。
最近,一名 Reddit 用户报告发现此伪造的 DynamicLake 应用以及伪造的 AirPosture,后者可能导致 DigitStealer 感染。
用户在搜索和安装新应用时应注意:
- 仔细检查是否位于正确的网站/GitHub 仓库
- 运行前使用 VirusTotal 扫描下载的安装程序
- 切勿将应用拖入终端
- 可使用专业工具验证应用/安装程序的签名
发表评论
您还未登录,请先登录。
登录