上周CheckPoint安全研究人员在 macOS 系统,发现一款恶意软件 OSX.Dok,采用钓鱼攻击方式,中招的用户会收到伪装来自国外shui wu 局的邮件,要求在附件中填入自己的详细信息,而当你完成这些操作,此时 OSX.Dok 已经默默加入电脑的启动项,且每次都是自动运行。当用户每次访问互联网,使用 https 连接访问安全服务器等,都会被监控。
而最近 Malwarebytes 研究员 Adam Thomas 又发现了一款新的 Mac 恶意软件 OSX.Bella。这款恶意软件的传播方式与 OSX.Dok 完全不同,但用户一旦安装这款恶意软件,它对用户造成的危害却一点都不会比 OSX.Dok 的弱。
OSX.Bella 的安装方式和 OSX.Dok 是一样的,设备被感染之后,该恶意软件就会安装开源后门 Bella。它还会复制 /Users/Shared/AppStore.app,提醒用户应用已经损坏。该恶意软件不会显示全屏应用更新,强制用户输入密码,否则用户 Mac 不可用,但是它会关闭应用,大约一分钟之后会把应用删除掉。
对于企业用户来说,OSX.Bella 的威胁可能会比较大,它能够泄露企业的大量敏感数据,包括密码、代码签名证书和硬件位置。
好在目前 OSX.Bella 泄露代码签名证书的功能已经被禁用,所以用户可以不用担心。另外 Malwarebytes 建议用户更换自己的密码,因为用户设备很有可能再此之前就已经被感染了。