資安業者Synack本周揭露了一鎖定蘋果macOS作業系統的巨集病毒,該病毒是藉由Word文件傳遞,也只會感染Mac版本的Word,其隨後自駭客伺服器所下載的惡意程式可用來監控視訊攝影機、竊取密碼及金鑰,還能存取瀏覽器的歷史紀錄。

巨集(Macro)為微軟Office程式用以自動化某些共同任務的功能,可直接執行的巨集亦受到駭客的青睞,作為夾帶惡意程式的媒介,為了降低安全威脅,Office程式中巨集功能的預設值是關閉的,並會在開啟含有巨集的檔案時跳出警告視窗。

此一被用來傳遞巨集病毒的Word文件名稱為「 U.S. Allies and Rivals Digest Trump’s Victory – Carnegie Endowment for International Peace.docm 」,以川普當選美國總統的議題來吸引使用者開啟。它主要藉由電子郵件散布,當使用者開啟該文件,且同意執行巨集之後,病毒就會進駐macOS。

Synack研究總監Patrick Wardle說明,此一巨集病毒使用了開放源碼、通常被用來執行滲透測試的EmPyre框架,並檢查macOS上的程式防火牆Little Snitch有否運作,再自駭客所掌控的命令暨控制(C&C)伺服器下載其他的攻擊模組,包括監控系統上的視訊攝影機、竊取使用者的密碼與金鑰,以及存取使用者的瀏覽歷史紀錄等。

Wardle亦發現該駭客伺服器的IP位址源自俄國。

Wardle表示,這個惡意程式並沒有特別高明,它必須仰賴使用者的互動,讓使用者開啟檔案並啟用巨集,而大多數的使用者其實都已經知道千萬不要允許陌生文件的巨集執行。駭客所利用的是人性,以及一個永遠不會被修補的合法功能。