🐞 攻击者在中东的间谍活动中暴露出苹果 Mac 的弱点

Apple Mac 很少成为数字间谍的目标。但近年来,一个名叫 WindShift 的神秘“黑客”团队针对的是在中东地区的政府部门和关键基础设施部门的特定工作人员,他们正在利用据信是可以影响所有 Apple Mac 机型的弱点。

根据阿联酋的研究员 Taha Karim 的说法,这些目标位于所谓的海湾合作委员会(GCC)地区,这包括:沙特阿拉伯,科威特,阿联酋,卡塔尔,巴林和阿曼。这些目标被发送鱼叉式网络钓鱼电子邮件,其中包含黑客运行的网站的链接。一旦目标点击链接,攻击就会启动,其最终目的是下载被称为 WindTale 和 WindTape 的恶意软件。

网络安全公司 DarkMatter 的研究人员 Karim 表示,攻击者已经找到了“绕过所有原生 macOS 安全措施的方法。”一旦他们进入这些防御措施,恶意软件将泄露感兴趣的文件,并不断截取受害者桌面的屏幕截图。研究人员补充说,这些攻击从 2016 年就开始了,一直持续到今天。

Karim 拒绝透露什么样的关键基础设施已被成为目标,并且既不会指明具体国家也不会指出受害者。他将于周四在新加坡举行的 Hack In The Box 会议上发表他的全部调查结果。

Mac 黑客的解释

DarkMatter 表示,黑客的网页将尝试安装包含恶意软件的 .zip 文件。下载完成后,恶意软件将尝试通过所谓的“自定义 URL 方案”启动。这并不像听起来那么复杂。开发人员可以创建自己的 URL 方案,以便在点击链接时打开其应用的特定部分。例如,想象一个链接,打开一个地图应用程序,将用户带到特定的地方,并立即从他们的位置提供方向。这需要首先在计算机或智能手机上注册自定义 URL 方案才能正常工作。

以下是 WindShift 团队恶意软件的情况:

  • 首先,用户访问试图安装 .zip 文件的网站,里面是恶意软件;
  • Apple Safari 浏览器将自动解压缩文件,macOS 将自动注册恶意软件选择的 URL 方案;
  • 下载恶意软件的同一网站将通过现已注册的自定义 URL 方案发出请求,以启动恶意软件;
  • 一旦安装了.zip文件,攻击者就依赖受害者来保持网站的生效,这足以让恶意软件发挥作用;
  • 然后,操作系统运行恶意软件以处理自定义 URL 方案的请求;
  • 由此,WindTale 和 WindTape 可以默默地开始窃取文件并截取屏幕截图。

查看主要的桌面操作系统,问题可能是 Apple 独有的。据 Karim 称,这种方法在 Windows 上不起作用。

WindShift 黑客在成功感染目标时必须克服一些障碍。最新版本的 Safari 将显示一个提示,要求用户确认他们要运行的这些自定义 URL 方案。如果用户点击“允许”,Apple 的 Gatekeeper 安全功能将会有另一个请求,该功能将再次询问用户是否确实要安装这些文件。

这样似乎是不错的预防措施?其实不然。正如 Karim 所说,攻击者可以控制 Safari 警报内的大部分内容,使其恶意软件看起来无害。测试 Forbes 攻击方法的 Wardle 给出了提示,所以会提问:“你是否允许此页面打开谷歌?”另一个用笑脸表情符号取代了“谷歌”。Karim 暗示 Mail.app 可能欺骗普通用户。

Mac 黑客 Patrick Wardle 复制了一种试图欺骗用户下载恶意软件的攻击方法。在这个演示中,恶意软件的名称已被变成了笑脸

对于 WindShift hacks 还有另一个潜在方面的麻烦。如果攻击者或其受害者复制了恶意软件,使其在网络中共享,则所有用户都可能将恶意自定义 URL 方案自动添加到 Apple Mac。“攻击者可以利用这种简单的技术在网络中横向推动,从而导致大量 Mac 计算机被感染”。

Karim 说他已联系过苹果公司。该公司告诉他,这个问题从它的角度来看是封闭的。“但尚不清楚是否采取了任何具体的补救措施,”他补充说。

在该消息发布时,Apple 没有回复评论请求。◾️

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据。