Mac 用戶當心!兩隻遠端存取木馬竊取個資,監看電腦螢幕及記錄鍵盤輸入

最近出現了兩隻針對 Mac電腦的惡意軟體：Snake（又稱為Turla、Uroburos和Agent.BTZ，趨勢科技偵測為OSX_TURLA.A）和Proton（OSX_PROTON.A）。兩者都是遠端存取木馬，讓攻擊者無須授權就可以遠端連上系統，進而竊取中毒系統內儲存的檔案、資料和密碼，即時監看電腦螢幕並記錄鍵盤輸入。

Snake早在2008年就開始出現在Windows作業系統，並被用在網路間諜活動上。到了2014年，其操作者開發了Linux的版本。Snake透過攻擊一系列的漏洞來侵入目標。其rootkit功能讓它可以隱藏自己的惡意程序和檔案，好隱密的躲在系統內，讓偵測變得更加困難。

Snake利用有問題的Adobe Flash Player安裝程式壓縮檔作誘餌

這一次，他們將Windows版本的後門程式移植到 Mac OS X系統，利用有問題的Adobe Flash Player安裝程式壓縮檔作誘餌。這版本的Snake利用有效的Apple開發者憑證（可能是偷來的）來繞過Gatekeeper（Mac OS X系統的安全功能）程式碼簽章限制，讓它可以在系統內執行。Snake內所出現的除錯功能顯示它仍在開發中，預計很快就可以全面運作。

[延伸閱讀：看看針對 Mac使用者值得注意的威脅]

5月2日- 5月6日間下載過轉檔軟體 HandBrake的 Mac 用戶,當心密碼被竊取

Proton後門程式的操作者入侵HandBrake（一個熱門的開放程式碼轉檔軟體）的備用下載伺服器後開始用來散播惡意軟體。根據HandBrake開發者論壇所發布的安全通告，這個入侵事件發生在5月2日（14:30 UTC）至5月6日（11:00 UTC）間。攻擊者用自己的惡意檔案替換掉原本正常的HandBrake應用程式，其中一個與網站或Github資源庫內的SHA1或SHA256哈希（Hash）不符。

就跟Snake一樣，Proton利用簽章過的Apple憑證在中毒系統內執行，讓它可以竊取密碼，例如儲存在密碼儲存工具（如Apple自己的KeyChain或其他網頁型服務）內的密碼。

[來自資安情報部落格：Unix類型的作業系統（如 Mac OS）如何改變勒索病毒環境的遊戲規則]

Mac系統不會中毒神話不再

這些威脅打破了 Mac系統不會中毒的想法。隨著Apple設備不斷的提升市場占有率，惡意威脅也會雖之而來。趨勢科技光在2016年12月就看到超過221,000次的 Mac威脅被偵測 – 跟2016年11月（僅為81,000）相比是大幅度的增長。

事實上，趨勢科技已經觀察到針對Apple使用者的惡意軟體在持續的成長 – 從黑帽搜尋引擎最佳化攻擊、針對 Mac安全漏洞的攻擊、潛在有害程式（PUA，如會繞過隱私保護的廣告軟體）及網路釣魚到rootkit，甚至是勒索病毒 Ransomware (勒索軟體/綁架病毒)如KeRanger（OSX_KERANGER）。

是的，針對Apple設備和軟體的攻擊不再少見了。預計Apple將可能在弱點數量上超過微軟。各種Apple設備和軟體間的越來越緊密的互動作用只會激勵網路犯罪分子去更加針對這些平台。

近日下載過HandBrake的 Mac 用戶,檢查是否中了Proton 遠端存取木馬

HandBrakes開發者提醒使用者用OSX Activity Monitor來確認檢查自己的軟體是否執行一個名為「Activity_agent」程式。HandBrake的通知包含了SHA1和SHA256哈希（Hash），使用者可以加以比對檢查，以確認檔案是否包含Proton後門。該通告還提供如何清除惡意軟體的說明。

鑑於Snake和Proton都被設計來竊取包含密碼的資訊，建議使用者要立即變更密碼以防遭到入侵和資料外洩攻擊。此外，使用者和企業可以在端點進行檔案和資料加密，防止攻擊者取得敏感資料。

一般使用者和企業也應該保持良好的安全習慣：