AppleMac很少成为数字间谍的目标。但近年来,一个名叫WindShift的神秘“黑客”团队针对的是在中东地区的*府部门和关键基础设施部门的特定工作人员,他们正在利用据信是可以影响所有AppleMac机型的弱点。
根据阿联酋的研究员TahaKarim的说法,这些目标位于所谓的海湾合作委员会(GCC)地区,这包括:沙特阿拉伯,科威特,阿联酋,卡塔尔,巴林和阿曼。这些目标被发送鱼叉式网络钓鱼电子邮件,其中包含黑客运行的网站的链接。一旦目标点击链接,攻击就会启动,其最终目的是下载被称为WindTale和WindTape的恶意软件。
网络安全公司DarkMatter的研究人员Karim表示,攻击者已经找到了“绕过所有原生macOS安全措施的方法。”一旦他们进入这些防御措施,恶意软件将泄露感兴趣的文件,并不断截取受害者桌面的屏幕截图。研究人员补充说,这些攻击从年就开始了,一直持续到今天。
Karim拒绝透露什么样的关键基础设施已被成为目标,并且既不会指明具体国家也不会指出受害者。他将于周四在新加坡举行的HackInTheBox会议上发表他的全部调查结果。
Mac黑客的解释
DarkMatter表示,黑客的网页将尝试安装包含恶意软件的.zip文件。下载完成后,恶意软件将尝试通过所谓的“自定义URL方案”启动。这并不像听起来那么复杂。开发人员可以创建自己的URL方案,以便在点击链接时打开其应用的特定部分。例如,想象一个链接,打开一个地图应用程序,将用户带到特定的地方,并立即从他们的位置提供方向。这需要首先在计算机或智能手机上注册自定义URL方案才能正常工作。
以下是WindShift团队恶意软件的情况:
首先,用户访问试图安装.zip文件的网站,里面是恶意软件;AppleSafari浏览器将自动解压缩文件,macOS将自动注册恶意软件选择的URL方案;下载恶意软件的同一网站将通过现已注册的自定义URL方案发出请求,以启动恶意软件;一旦安装了.zip文件,攻击者就依赖受害者来保持网站的生效,这足以让恶意软件发挥作用;然后,操作系统运行恶意软件以处理自定义URL方案的请求;由此,WindTale和WindTape可以默默地开始窃取文件并截取屏幕截图。查看主要的桌面操作系统,问题可能是Apple独有的。据Karim称,这种方法在Windows上不起作用。
WindShift黑客在成功感染目标时必须克服一些障碍。最新版本的Safari将显示一个提示,要求用户确认他们要运行的这些自定义URL方案。如果用户点击“允许”,Apple的Gatekeeper安全功能将会有另一个请求,该功能将再次询问用户是否确实要安装这些文件。
这样似乎是不错的预防措施?其实不然。正如Karim所说,攻击者可以控制Safari警报内的大部分内容,使其恶意软件看起来无害。测试Forbes攻击方法的Wardle给出了提示,所以会提问:“你是否允许此页面打开谷歌?”另一个用笑脸表情符号取代了“谷歌”。Karim暗示Mail.app可能欺骗普通用户。
Mac黑客PatrickWardle复制了一种试图欺骗用户下载恶意软件的攻击方法。在这个演示中,恶意软件的名称已被变成了笑脸。
对于WindShifthacks还有另一个潜在方面的麻烦。如果攻击者或其受害者复制了恶意软件,使其在网络中共享,则所有用户都可能将恶意自定义URL方案自动添加到AppleMac。“攻击者可以利用这种简单的技术在网络中横向推动,从而导致大量Mac计算机被感染”。
Karim说他已联系过苹果公司。该公司告诉他,这个问题从它的角度来看是封闭的。“但尚不清楚是否采取了任何具体的补救措施,”他补充说。
在该消息发布时,Apple没有回复评论请求。