8月28日消息，據(jù)科技媒體9to5Mac報(bào)道，蘋(píng)果設(shè)備安全管理公司Mosyle近日發(fā)現(xiàn)一款名為“JSCoreRunner”的新型Mac惡意軟件。該惡意軟件通過(guò)偽裝成PDF轉(zhuǎn)換工具的虛假網(wǎng)站“fileripple[.]com”進(jìn)行傳播，目前已成功逃避VirusTotal平臺(tái)上所有安全檢測(cè)，屬于零日攻擊。

攻擊者通過(guò)虛假PDF轉(zhuǎn)換網(wǎng)站誘導(dǎo)用戶下載惡意程序。該軟件采用雙階段感染模式：第一階段安裝包“FileRipple.pkg”表面顯示為正常PDF工具，實(shí)則后臺(tái)運(yùn)行惡意代碼。雖然蘋(píng)果已吊銷(xiāo)其開(kāi)發(fā)者證書(shū)，但惡意載荷實(shí)際隱藏在第二階段安裝包“Safari14.1.2MojaveAuto.pkg”中。

由于第二階段安裝包未進(jìn)行簽名，因此能夠繞過(guò)Gatekeeper默認(rèn)保護(hù)機(jī)制。安裝后會(huì)首先與遠(yuǎn)程服務(wù)器通信確認(rèn)安裝，隨后去除隔離屬性并設(shè)置主程序路徑，全程在用戶無(wú)感知的情況下完成系統(tǒng)感染。

該惡意軟件主要針對(duì)Google Chrome瀏覽器，會(huì)掃描用戶目錄下的所有配置文件，修改搜索引擎模板，將搜索和新標(biāo)簽頁(yè)重定向至偽造搜索服務(wù)。同時(shí)還會(huì)隱藏崩潰日志和會(huì)話恢復(fù)提示，極大降低用戶察覺(jué)風(fēng)險(xiǎn)。

瀏覽器被劫持后，用戶可能被導(dǎo)向釣魚(yú)網(wǎng)站、惡意廣告或欺詐頁(yè)面，面臨鍵盤(pán)記錄、數(shù)據(jù)竊取和財(cái)務(wù)詐騙等風(fēng)險(xiǎn)。Mosyle已提供相關(guān)文件哈希值，建議用戶采用多層安全策略并加強(qiáng)安全意識(shí)教育。

（本文基于9to5Mac報(bào)道及Mosyle安全報(bào)告整理）