最近出現了兩隻針對 Mac電腦的惡意軟體:Snake(又稱為Turla、Uroburos和Agent.BTZ,趨勢科技偵測為OSX_TURLA.A)和Proton(OSX_PROTON.A)。兩者都是遠端存取木馬,讓攻擊者無須授權就可以遠端連上系統,進而竊取中毒系統內儲存的檔案、資料和密碼,即時監看電腦螢幕並記錄鍵盤輸入。
Snake早在2008年就開始出現在Windows作業系統,並被用在網路間諜活動上。到了2014年,其操作者開發了Linux的版本。Snake透過攻擊一系列的漏洞來侵入目標。其rootkit功能讓它可以隱藏自己的惡意程序和檔案,好隱密的躲在系統內,讓偵測變得更加困難。
Snake利用有問題的Adobe Flash Player安裝程式壓縮檔作誘餌
這一次,他們將Windows版本的後門程式移植到 Mac OS X系統,利用有問題的Adobe Flash Player安裝程式壓縮檔作誘餌。這版本的Snake利用有效的Apple開發者憑證(可能是偷來的)來繞過Gatekeeper(Mac OS X系統的安全功能)程式碼簽章限制,讓它可以在系統內執行。Snake內所出現的除錯功能顯示它仍在開發中,預計很快就可以全面運作。
[延伸閱讀:看看針對 Mac使用者值得注意的威脅]
5月2日- 5月6日間下載過轉檔軟體 HandBrake的 Mac 用戶,當心密碼被竊取
Proton後門程式的操作者入侵HandBrake(一個熱門的開放程式碼轉檔軟體)的備用下載伺服器後開始用來散播惡意軟體。根據HandBrake開發者論壇所發布的安全通告,這個入侵事件發生在5月2日(14:30 UTC)至5月6日(11:00 UTC)間。攻擊者用自己的惡意檔案替換掉原本正常的HandBrake應用程式,其中一個與網站或Github資源庫內的SHA1或SHA256哈希(Hash)不符。
就跟Snake一樣,Proton利用簽章過的Apple憑證在中毒系統內執行,讓它可以竊取密碼,例如儲存在密碼儲存工具(如Apple自己的KeyChain或其他網頁型服務)內的密碼。
[來自資安情報部落格:Unix類型的作業系統(如 Mac OS)如何改變勒索病毒環境的遊戲規則]
Mac系統不會中毒神話不再
這些威脅打破了 Mac系統不會中毒的想法。隨著Apple設備不斷的提升市場占有率,惡意威脅也會雖之而來。趨勢科技光在2016年12月就看到超過221,000次的 Mac威脅被偵測 – 跟2016年11月(僅為81,000)相比是大幅度的增長。
事實上,趨勢科技已經觀察到針對Apple使用者的惡意軟體在持續的成長 – 從黑帽搜尋引擎最佳化攻擊、針對 Mac安全漏洞的攻擊、潛在有害程式(PUA,如會繞過隱私保護的廣告軟體)及網路釣魚到rootkit,甚至是勒索病毒 Ransomware (勒索軟體/綁架病毒)如KeRanger(OSX_KERANGER)。
是的,針對Apple設備和軟體的攻擊不再少見了。預計Apple將可能在弱點數量上超過微軟。各種Apple設備和軟體間的越來越緊密的互動作用只會激勵網路犯罪分子去更加針對這些平台。
近日下載過HandBrake的 Mac 用戶,檢查是否中了Proton 遠端存取木馬
HandBrakes開發者提醒使用者用OSX Activity Monitor來確認檢查自己的軟體是否執行一個名為「Activity_agent」程式。HandBrake的通知包含了SHA1和SHA256哈希(Hash),使用者可以加以比對檢查,以確認檔案是否包含Proton後門。該通告還提供如何清除惡意軟體的說明。
鑑於Snake和Proton都被設計來竊取包含密碼的資訊,建議使用者要立即變更密碼以防遭到入侵和資料外洩攻擊。此外,使用者和企業可以在端點進行檔案和資料加密,防止攻擊者取得敏感資料。
一般使用者和企業也應該保持良好的安全習慣:
- 保持軟體和作業系統更新
- 啟用Gatekeeper
- 從官方Apple商店下載
- 對撤銷或未簽章憑證的應用程式保持警覺
- 不要打開電子郵件、網站或是社群網路內可疑或未經確認的檔案或連結
趨勢科技解決方案:
一般使用者可以利用如PC-cillin for Mac的安全解決方案,它能夠提供對抗惡意軟體、勒索病毒、惡意網站和身份竊盜的多設備全面性安全防護。它還有安全儲存密碼和其他敏感資料的功能。趨勢科技行動安全防護可以監視和封鎖網路釣魚攻擊和其他惡意網址。
對於企業用戶,趨勢科技的Smart Protection Suites 加入了XGen安全防護能力,可以支援Mac系統,並且將高保真機器學習加入威脅防護技術,消除所有使用者和端點的安全間隙。
@原文出處:Snake and Proton Malware Found Targeting Mac Users
AV-TEST 連續第四個月評比趨勢科技 PC-cillin 雲端版為「頂尖產品」PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外,更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能,跨平台跨裝置全面保護消費者遠離威脅!!即刻免費下載
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。