双因素验证在这个恶意软件面前形同虚设,心惊胆战……
威锋网 3 月 15 日消息,近日安全公司 Sixgill 在俄罗斯某网络犯罪论坛上发现,有人正在出售一种新型 Mac 特洛伊——Proton,卖家称还会给买家提供正版苹果代码签名,特洛伊的“毒性”会因此大大增强。
据 Sixgill 介绍,Proton 是一种针对 macOS 系统的远程访问木马,使用 Objective C 语言编写,可独立运行。该木马的开发者称它是“专业的 FUD 监控和控制解决方案,有了它你几乎可以在目标 Mac 上做任何事情。”
有了根访问权限,攻击者就可以利用该木马执行按键记录、上传和下载文件、截屏、访问网络摄像头以及连接 SSH 和 VHC 等任务。该恶意软件还能够通过定制窗口来获取用户的更多信息,比如信用卡号等。
Sixgill 指出一旦受到该恶意软件的攻击,用户本地存储的数据中受到威胁的不仅仅是那些信息,还包括 iCloud 访问权限,双因素验证在这个恶意软件面前形同虚设。
Sixgill 认为该恶意软件的开发者应该是不惜一切代价才拿到苹果的签名代码,也就是说已经通过了苹果针对第三方软件开发者而设的严格的过滤流程。开发者要么是篡改了 Apple Developer ID Program 的登记信息,要么是利用偷来的凭证才有可能通过苹果的签名流程。
另外,Sixgill 分析认为该恶意软件的开发者应该是拥有 macOS 中还未被封堵的零日漏洞,利用这个漏洞仅仅获得了根访问权限。虽然这个恶意软件存在一定的威胁,但是要感染目标系统它仍得借助现有的方法:伪装成定制的图标和名称来欺骗目标用户下载和安装。
Proton 的开发者想将这个木马以所谓的合法的安全工具的形式销售出去,而且还设立了专门的网站,声称它可以防止企业间谍,协助管理员管理系统,也适合家长监控孩子的网络使用。不过在 Sixgill 发布他们的报告揭露它的真面目之后,这个网站就下线了。
Proton现在已经大减价,此前售价是 100 比特币(约合 126,000 美元),可无限安装,但是在受到各方指责之后,它的售价有所调整,40比特币(约合 50,400 美元),可无限安装;2 比特币(约合 2,512 美元),只可安装一次。
