安全公司Intego近日在App Store發現6支假冒Flash安裝器(installer)軟體的Mac惡意程式,躲過了蘋果的公證機制而成功上架。不過蘋果很快就封鎖了這些程式的開發商。

從macOS 10.15版(Catalina) 起,蘋果要求所有Mac App開發商將其應用程式發布前,需送交公證(notarization)檢查程式碼是否有惡意元件。未經公證的Mac App在開啟時,會遭到macOS上GateKeeper軟體的阻擋。但是Intego研究人員發現,已經有惡意程式可以成功躲過這個檢查機制。

Intego發現了6個偽裝Flash Player安裝軟體的macOS版MacOffers(或稱MaxOfferDeal)木馬程式,但是從10月6日到13日,6隻磁碟映像檔(.dmg)及第1階段的木馬樣本,在VirusTotal病毒檢測平臺上完全沒有防毒產品偵測到。到10月12日,VirusTotal 上60個防毒引擎中只有4個偵測到1隻第2階段的惡意程式樣本。

研究人員指出,MacOffer之所以能躲過蘋果的公證,可能是因為它使用圖像隱碼術(steganography)的技倆,將惡意程式藏在一個分開的JPEG圖形檔中(如下圖所示)。這個JPEG看似無害,但內含惡意App的.zip檔,一旦安裝在macOS用戶電腦即釋出木馬程式。這類手法之前見於2019年的VeryMal Shlayer及2011年的假防毒軟體MacDefender。

圖片來源_Intego

蘋果已在10月12日吊銷了這隻惡意程式的開發商憑證,阻斷這些程式為害。

這並不是Intego第一次發現到蘋果公證了惡意程式上架。8月底該公司發現,高達40隻廣告程式Shlayer及Bundlore家族的惡意程式變種登上App Store。9月間安全研究人員Patrick Wardle也發現Shlayer偽裝的Flash Installer。

研究人員說,看到有任何網站要求使用者下載Adobe Flash Player千萬要留意,因為不僅微軟Windows和主要瀏覽器已不支援Flash Player,Adobe也早已宣布2020年底終止支援。但由於不是所有使用者都知道這事,惡意程式還是經常能冒充Flash軟體得逞。

根據Google網站,Chrome雖預設關閉Flash,但仍會在背景安裝並更新Flash Player。因此安全公司提醒,如果用戶仍需使用Flash內容,還是可以用Chrome存取網站,但切記再自己下載以免受害。


熱門新聞

Advertisement