【安全公司：监测到针对macOS系统的新型加密劫持恶意软件】

【安全公司：监测到针对macOS系统的新型加密劫持恶意软件】2023年02月24日12点34分老不正经报道，据AppleInsider2月23日发布的一份报告，在macOS上发现了一种新的加密劫持恶意软件。该恶意软件似乎是通过盗版的电影剪辑包FinalCutPro传播的。苹果生态系统的网络安全公司JamfThreatLabs首先发现了这种恶意软件。过去几个月，它一直在追踪最近重新出现的恶意软件变种。2018年，苹果的操作系统也遭遇了类似的加密劫持恶意软件。安装后，该恶意软件会使用受感染的Mac秘密进行加密货币挖矿，还可以逃避检测。AppleMac有一个“活动监视器”，用户可以打开它查看正在运行的程序。当此工具被激活以避免检测时，恶意软件会停止运行。（BeInCrypto）

微软发现苹果 macOS 漏洞，可植入恶意软件

微软发现苹果macOS漏洞，可植入恶意软件微软于今年7月发现了一个macOS漏洞，可以绕过Gatekeeper安全机制执行恶意软件。微软将发现的这个macOS漏洞称之为“Achilles”，并通过“CoordinatedVulnerabilityDisclosure”将其告知给了苹果公司。该漏洞允许攻击者绕过苹果的Gatekeeper安全机制，在Mac设备上植入任意恶意软件。苹果公司在收到微软的报告之后，在本月13日发布的macOS13（Ventura）、macOS12.6.2（Monterey）和macOS1.7.2（BigSur）更新中修复了这个漏洞。

一半的 macOS 恶意软件都来自一个“杀毒”

一半的macOS恶意软件都来自一个“杀毒软件”Elastic安全实验室发现，一半macOS恶意软件来自MacKeeper。讽刺的是，MacKeeper声称“以零努力保持你的Mac清洁和安全”。该程序可以被威胁者滥用，因为它有广泛的权限和对进程和文件的访问。这意味着，一个旨在保持Mac安全不受网络威胁的程序可能使你的系统处于危险之中。MacKeeper也以难以完全卸载而著称。然而，Mac仍然是恶意软件最少的操作系统，研究发现只有6.2%的恶意软件出现在macOS上，而Windows和Linux上则分别为54.4%和39.4%。来源来自：雷锋频道：@kejiqu群组：@kejiquchat投稿：@kejiqubot

【慢雾CISO：注意暗网中出现针对macOS大规模攻击的软件macOS-HVNC】

【慢雾CISO：注意暗网中出现针对macOS大规模攻击的软件macOS-HVNC】2023年08月03日10点52分8月3日消息，据慢雾首席信息安全官23pds发推称，慢雾注意到最近暗网出现针对macOS大规模攻击的软件macOS-HVNC，Mac电脑和设备因其安全性和可用性比较好而被加密货币个人和中小企业广泛使用。macOSHVNC特性包括：隐藏操作，HVNC被设计为以隐身模式运行，使个人和中小企业难以检测到其系统上的存在，这种隐藏的操作允许网络犯罪分子在不引起怀疑的情况下保持访问权限；维持权限，HVNC通常包括确保即使在系统重新启动或尝试将其删除后仍保持活动状态的机制；数据盗窃，HVNC的主要目的是从个人、员工的计算机中窃取敏感信息，例如登录凭据、个人数据、虚拟资产、财务信息或其他有价值的数据；远程控制：HVNC允许网络犯罪分子远程控制计算机，使他们能够完全访问系统。尽管Mac历来较少成为网络犯罪分子的目标，但攻击者现在正在开发更多的macOS恶意软件，注意风险。

【某Telegram频道宣传针对macOS的信息窃取器AMOS，可窃取Electrum、币安等加密软件信息】

【某Telegram频道宣传针对macOS的信息窃取器AMOS，可窃取Electrum、币安等加密软件信息】2023年04月28日10点08分4月28日消息，一个Telegram频道在宣传一种名为AtomicmacOSStealer（AMOS）的新型信息窃取恶意软件，该软件专门针对macOS而设计，可以从受害者的机器上窃取各种类型的信息，包括keychain密码、完整的系统信息、桌面和文档文件夹中的文件，甚至是macOS密码。该窃取程序旨在针对多个浏览器，并可以提取自动填充、密码、cookie、钱包和信用卡信息。具体来说，AMOS可以针对Electrum、Binance、Exodus、Atomic和Coinomi等加密钱包。此外，AMOS还提供管理受害者的Web面板，用于窃取助记词和私钥的MetaMask暴力破解，加密检查器和dmg安装器，之后通过Telegram分享日志。这些服务的价格为每月1000美元。

微软安全研究人员发现macOS漏洞 可让恶意软件绕过安全检查

微软安全研究人员发现macOS漏洞可让恶意软件绕过安全检查Gatekeeper是一个macOS安全功能，它自动检查所有从互联网上下载的应用程序是否经过公证和开发者签名（经苹果公司批准），在启动前要求用户确认，或发出应用程序不可信的警告。这是通过检查一个名为com.apple.quarantine的扩展属性来实现的，该属性由网络浏览器分配给所有下载文件，类似于Windows中的MarkoftheWeb。该缺陷允许特别制作的载荷滥用逻辑问题，设置限制性的访问控制列表（ACL）权限，阻止网络浏览器和互联网下载器为下载的ZIP文件存档的有效载荷设置com.apple.quarantine属性。结果是存档的恶意载荷中包含的恶意应用程序在目标系统上启动，而不是被Gatekeeper阻挡，使攻击者能够下载和部署恶意软件。微软周一表示，"苹果在macOSVentura中引入的锁定模式，是针对可能被复杂网络攻击盯上的高风险用户的可选保护功能，旨在阻止零点击远程代码执行漏洞，因此不能防御Achilles"。微软安全威胁情报团队补充说："无论他们的锁定模式状态如何，终端用户都应该应用苹果发布的已修复版本"。这只是过去几年发现的多个Gatekeeper旁路之一，其中许多被攻击者在外部滥用，以规避macOS安全机制，如Gatekeeper、文件隔离和系统完整性保护（SIP）在完全打过补丁的Mac上。例如，BarOr在2021年报告了一个被称为Shrootless的安全漏洞，可以让威胁者绕过系统完整性保护（SIP），在被攻击的Mac上进行任意操作，将权限提升到root，甚至在脆弱的设备上安装rootkit。该研究人员还发现了powerdir，这是一个允许攻击者绕过透明、同意和控制（TCC）技术来访问用户受保护数据的漏洞。他还发布了一个macOS漏洞（CVE-2022-26706）的利用代码，可以帮助攻击者绕过沙盒限制，在系统上运行代码。最后但并非最不重要的是，苹果在2021年4月修复了一个零日macOS漏洞，使臭名昭著的Shlayer恶意软件背后的威胁者能够规避苹果的文件隔离、Gatekeeper和证书安全检查，并在受感染的Mac上下载更多的恶意软件。Shlayer的创造者还设法让他们的有效载荷通过苹果的自动证书程序，并使用多年的技术来提升权限和禁用macOS的Gatekeeper，以运行未签署的载荷。了解更多：https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-42821...PC版：https://www.cnbeta.com.tw/articles/soft/1335733.htm手机版：https://m.cnbeta.com.tw/view/1335733.htm