Mac病毒 - 資安趨勢部落格

繞過Mac內建保護機制的 Windows惡意執行檔，會下載資料竊取病毒跟廣告軟體

2019 年 02 月 20 日2019 年 02 月 19 日趨勢科技 TrendMicro

EXE是在Windows的執行檔格式，這代表它們只在Windows平台上執行，這也是種安全的作法。在預設情況下，在 Mac或 Linux作業系統上執行 EXE檔只會顯示錯誤訊息。

但趨勢科技發現一個 EXE 檔會繞過 Mac的內建保護機制（如Gatekeeper）來進行惡意行為。能夠繞過 Gatekeeper是因為EXE不會檢查，可以繞過程式碼簽章檢查和驗證，因為 Gatekeeper 只檢查原生Mac檔案。雖然沒有看到特定的攻擊模式，但我們的監測資料顯示英國、澳洲、亞美尼亞、盧森堡、南非和美國的感染數量最多。

行為

我們所分析的樣本是Mac和Windows上常見的防火牆應用程式（Little Snitch）安裝檔，可以從各種 torrent 網站下載。用.NET編譯的 Windows執行檔名稱如下：

Paragon_NTFS_for_Mac_OS_Sierra_Fully_Activated.zip
Wondershare_Filmora_924_Patched_Mac_OSX_X.zip
LennarDigital_Sylenth1_VSTi_AU_v3_203_MAC_OSX.zip
Sylenth1_v331_Purple_Skin__Sound_Radix_32Lives_v109.zip
TORRENTINSTANT.COM + – + Traktor_Pro_2_for_MAC_v321.zip
Little_Snitch_583_MAC_OS_X.zip

解壓縮下載的.ZIP檔案後，裡面包含裝有Little Snitch安裝檔的.DMG檔案。

圖1、解壓縮Windows執行檔所得到的檔案樣本。

繼續閱讀

Mac 會中毒嗎？六隻 Mac 電腦病毒偷帳密竊照片勒索…樣樣來!

2018 年 07 月 11 日2018 年 06 月 28 日趨勢科技 TrendMicro

Mac會中毒嗎? 一直以來 Mac用戶常引以為傲的想法是: 「Mac不會中電腦病毒」不幸的是這並非事實。雖然Mac電腦在過去一直不像Windows系統那樣成為駭客攻擊焦點，但是這情況正在轉變：隨著Mac電腦越來越受歡迎，網路犯罪分子也開始將注意力轉移到這平台。這對Mac使用者來說並不妙。

根據估算，Mac相關威脅在2017年飆升了270%。Mac的惡意威脅仍不像Windows電腦那麼常見，但只要一次點擊就可能造成嚴重的後果：珍貴檔案和照片遺失，身份資料被竊，甚至讓系統完全被鎖住。

援護小幫手

幸運的是，有些內建防護措施可以幫助你的Mac對抗網路威脅。首先，它的作業系統是基於Unix平台，跟Windows平台相比起來更加安全。但沒有作業系統是完全不受漏洞和惡意威脅影響的。所以Apple也加入了一些功能來提高安全性。包括了：

XProtect：會在背景執行的內建惡意軟體掃描工具。當你打開檔案（如開啟未知寄件者的郵件附加檔案或下載的應用程式），它會用黑名單檢查是否為已知惡意軟體並標記任何可疑內容。這個工具無需使用者互動且預設開啟，不會拖慢你的Mac電腦速度。繼續閱讀

Mac 用戶當心!兩隻遠端存取木馬竊取個資,監看電腦螢幕及記錄鍵盤輸入

2017 年 05 月 11 日2017 年 05 月 10 日趨勢科技 TrendMicro

最近出現了兩隻針對 Mac電腦的惡意軟體：Snake（又稱為Turla、Uroburos和Agent.BTZ，趨勢科技偵測為OSX_TURLA.A）和Proton（OSX_PROTON.A）。兩者都是遠端存取木馬，讓攻擊者無須授權就可以遠端連上系統，進而竊取中毒系統內儲存的檔案、資料和密碼，即時監看電腦螢幕並記錄鍵盤輸入。

Snake早在2008年就開始出現在Windows作業系統，並被用在網路間諜活動上。到了2014年，其操作者開發了Linux的版本。Snake透過攻擊一系列的漏洞來侵入目標。其rootkit功能讓它可以隱藏自己的惡意程序和檔案，好隱密的躲在系統內，讓偵測變得更加困難。

Snake利用有問題的Adobe Flash Player安裝程式壓縮檔作誘餌

這一次，他們將Windows版本的後門程式移植到 Mac OS X系統，利用有問題的Adobe Flash Player安裝程式壓縮檔作誘餌。這版本的Snake利用有效的Apple開發者憑證（可能是偷來的）來繞過Gatekeeper（Mac OS X系統的安全功能）程式碼簽章限制，讓它可以在系統內執行。Snake內所出現的除錯功能顯示它仍在開發中，預計很快就可以全面運作。

[延伸閱讀：看看針對 Mac使用者值得注意的威脅]

5月2日- 5月6日間下載過轉檔軟體 HandBrake的 Mac 用戶,當心密碼被竊取

Proton後門程式的操作者入侵HandBrake（一個熱門的開放程式碼轉檔軟體）的備用下載伺服器後開始用來散播惡意軟體。根據HandBrake開發者論壇所發布的安全通告，這個入侵事件發生在5月2日（14:30 UTC）至5月6日（11:00 UTC）間。攻擊者用自己的惡意檔案替換掉原本正常的HandBrake應用程式，其中一個與網站或Github資源庫內的SHA1或SHA256哈希（Hash）不符。繼續閱讀

《小廣和小明的資安大小事》阿公被手機傳染感冒了?!

2015 年 10 月 14 日2015 年 10 月 06 日趨勢科技 TrendMicro

只有 Windows 需要防毒軟體嗎？

因為阿公一向很正經，阿嬤才把他的玩笑話當真，但電腦病毒並非只存在於Windows電腦的這段話倒是真的。雖然Mac惡意軟體的數量並不像Windows上那麼多，但這並不代表可以對Mac 病毒/惡意軟體掉以輕心。例如 2014年 iWorm為Mac安全防護敲響警鐘？新蠕蟲感染1.7萬台蘋果Mac電腦;2012年假 Mac OS 安裝程式透過手機帳戶向使用者收錢

以 Mac為目標、名為「WireLurker」的病毒，在感染Mac之後，會在連接該電腦的 iPhone 或 iPad上安裝非法應用程式（針對智慧型手機、平板電腦的病毒）。繼續閱讀