2023 全年 macOS 恶意软件回顾

攻击者在 2023 年盯上了 macOS 平台，全年传统上公众认为 macOS 比其他平台更加安全  ，意软但其实苹果的全年操作系统也面临着各种网络攻击。分析人员整理了 2023 年最重要的意软 macOS 恶意软件
，详细介绍了其特征和影响 。全年

macOS 平台的意软恶意软件最多的类别是后门（29.6%）
，其次是全年信息窃密（25.9%），紧随其后的意软是远控木马（14.8%） 。广告类恶意软件也有所增长，服务器租用全年与漏洞利用类恶意软件一同构成了 macOS 平台最常见的意软恶意软件。

一月

2023 年一开始，全年Dridex RAT 就浮出了水面
 。意软Dridex RAT 是全年 Dridex 银行木马的变种，曾经是意软 Windows 平台独占的恶意软件。攻击者目前也将其迁移到 macOS 平台 ，全年覆盖更多潜在受害者。

该恶意软件是信息窃密类恶意软件  ，旨在窃取各种用户凭据。Dridex RAT 使用了一项新技术 ：将恶意宏代码与 Mach-O 或者可自动执行的源码库 Mac 文件结合起来。使用这种方式，攻击者无需再将恶意代码藏在恶意 Word 文件中 ，通过发票等主题对用户进行欺骗 。Dridex 被归因为总部位于俄罗斯的网络犯罪团伙 Evil Corp（Indrik Spider）  。

二月

二月是挖矿猖獗的月份 。攻击者将恶意软件伪装成合法软件，例如 Apple Logic Pro X 和 Final Cut Pro 等，诱骗受害者下载并安全该恶意软件应用程序 。

攻击者在失陷主机上部署开源矿机 XMRig 挖矿，对门罗币或者其他加密货币进行挖掘获利。众所周知，此类恶意软件通常都会感染数十万台设备
。免费模板

三月

攻击者加快了步伐 ，SmoothOperator 3CX 和臭名昭著的 MacStealer 浮出水面。二者都是窃密类恶意软件 ，这类恶意软件也是 macOS 平台增长最快的恶意软件类型之一。

SmoothOperator 3CX 是针对供应链进行攻击的高级窃密类恶意软件 ，被认为与朝鲜黑客组织有关 。SmoothOperator 恶意软件入侵了流行的 VoIP 软件 3CX，这一软件被全球数十万客户使用 ，甚至包括许多知名的高防服务器大公司 。安全专家认为，Smooth Operator 攻击有可能是自 2020 年 SolarWinds 攻击以来最严重的供应链攻击。

MacStealer 的攻击者也使用了类似的方法，利用 Telegram 从浏览器和钥匙串的数据库中提取敏感数据。影响 Intel  、M1 和 M2 CPU 的各类苹果设备，macOS Catalina 以及更新版本的操作系统都受到波及。恶意软件通过 .dmg 文件中的亿华云虚假密码提示进行传播 ，再利用 Python 将收集到的数据回传到 C&C 服务器 。

四月

四月是网络安全最繁忙的一个月，RustBucket 、AMOS（Atomic Stealer）、POOLRAT 和 Lockbit 对全球的 macOS 用户发起了大规模攻击 。

RustBucket 以建立持久化、检测逃避给安全分析人员留下了很深的印象 。该后门被认为与朝鲜黑客 BlueNoroff 有关，该小组隶属于 Lazarus Group，后者普遍被业界认为是建站模板朝鲜 RGB 部门负责管理的晶莹黑客小组。

RustBucket 是一个基于 AppleScript 的后门，通过与 C&C 服务器进行通信下载和执行各种 Payload。该恶意软件自带持久化技术，并通过各种技术降低被发现的概率  。最新变种 REF9135  ，被发现针对美国加密货币公司进行攻击 。

AMOS（Atomic Stealer）可以说是全年最活跃的恶意软件，攻击者在 Telegram 中对其进行大肆宣传
。AMOS 专门针对 macOS 系统开发，旨在窃取各种敏感信息（钥匙串密码 、加密钱包密码、浏览器凭据和各种敏感文件） 。该恶意软件通过 .dmg 文件进行传播，显示虚假的密码提示以获取系统密码 。

Lockbit 攻击者在 2023 年也盯上了 macOS 系统，至此该勒索软件团伙已经横跨 Windows 、Linux、VMware ESXi 与 macOS 各个平台进行加密  ，甚至包括使用 Apple M1 芯片的设备。

五月

五月的后门 Snake 和 Geacon 异常活跃
，二者都是针对 macOS 进行攻击的。Snake 是 Turla 组织开发的恶意软件，该团伙经验丰富，自从 2004 年开始一直保持存在。Turla 专门开发了恶意后门 Snake 来入侵 macOS 设备，足见该攻击者对各类威胁的熟稔。

相比 Snake
，来自 Geacon 的威胁就没有那么大。Geacon 是业界知名的 Cobalt Strike 的 Go 实现版本，从 5 月开始支持 macOS 平台。VirusTotal 上已经检出了 Geacon 的变种 ，有一些是真正恶意攻击所使用的
。

六月

REF9134（又名 JokerSpy）在六月异军突起获得大量关注，这是一个复杂的网络入侵工具 。该恶意软件针对日本加密货币交易所进行攻击 ，攻击者利用 sh.py 后门部署了 macOS Swiftbelt 工具 ，展现了高超的规避技术与研发水平
。

七月

七月是攻击者异常活跃的月份。攻击组织 DangerousPassword 以加密货币交易所开发人员为攻击目标，横跨 Windows 、macOS 与 Linux 系统 。在 macOS 与 Linux 系统中，攻击者将恶意代码注入 Python 脚本窃取用户数据 。

另一个后门 GorjolEcho 则是伊朗黑客组织 APT42（又称 Charming Kitten）的手笔，该组织针对中东事务与核安全专家发起过多次攻击 。攻击者部署了特制的 macOS 变种 NokNok，该恶意软件收集用户数据并加密回传，攻击主要以网络间谍为主。

现在窃密类恶意软件越来多，ShadowVault 也是一种典型的窃密类恶意软件 。ShadowVault 旨在从 macOS 设备上窃取敏感数据，该恶意软件在后台静默运行
，收集有价值的信息（如登录凭据与财务信息等）。研究人员发现，ShadowVault 也通过恶意软件即服务的方式在线销售 ，这也是全球网络犯罪的大趋势
。

同样的，窃密类恶意软件 Realst 也是通过虚假区块链游戏网站进行传播的 。Realst 会通过各种方式，如 ApplceScript 欺骗与虚假提示，窃取各种敏感信息（如加密钱包和密码） 。该恶意软件具有不同的变种，分别具有不同的特征
。

这还不是全部 ，朝鲜黑客 Lazarus 也使用后门 FULLHOUSE 在七月发起攻击 。该恶意软件是使用 C/C++ 编写的，支持建立隧道与远程命令执行等后门常见功能。

八月

八月的恶意软件继续多元化发展，HVNC 远控木马的兴起帮助了攻击者未授权访问 macOS 设备。HVNC 远控木马的售价为 6 万美元，为攻击者提供了强大的技术支持，包括持久化、反向 Shell、远程文件管理器与 macOS 的兼容性。

相比之下，窃密恶意软件 XLoader 在 2023 年 8 月通过 OneNote 进行传播。此前 XLoader 受到 Java 依赖的限制，最新更换为 C 与 Objective-C 进行开发。XLoader 使用已被撤销的 Apple 开发者签名进行传播 ，窃取 Chrome 与 Firefox 浏览器的用户数据。

总体来说，广告类恶意软件卷土重来
 。2017 年发现的 AdLoad 等恶意软件持续感染 macOS 系统。广告类恶意软件可以用于下载其他恶意软件 ，通过恶意广告、捆绑软件 、PiTM 攻击 、后门和代理应用程序影响 macOS 的用户。

勒索软件在全年也留下不可磨灭的痕迹  ，Akira 勒索软件在八月通过 Cisco VPN 入侵进行勒索成为了头条新闻。Akira 勒索软件的主要目标是破坏系统和网络 、窃取数据并加密文件，勒索受害者付款。

九月

九月出现了两个重大威胁  ，针对业务用户与敏感数据进行窃取。MetaStealer 是一个全新的窃密程序，通过伪装成虚假客户端和虚假镜像包进行传播。一旦执行成功  ，恶意软件就会提取敏感信息并回传数据。

第二个威胁是 Knight 勒索软件，这是 Cyclops 勒索软件的变种。该勒索软件以勒索软件即服务（RaaS）的形式运行，要求受害者支付赎金才能进行数据解密 。Knight 一共有两个版本：一个是普通版本 、另一个是精简版。无论哪个版本 ，都主要通过网络钓鱼来进行攻击 ，社会工程学攻击在勒索软件攻击中仍然是持久的威胁 。

十月

十月份 Monti 出现，这是一种地下论坛中新出现的勒索软件联盟计划。Monti 声称使用了 Conti 的 EXSi 勒索软件修改版本，这又是一个潜在的威胁。并且，该团伙与早期勒索软件团伙 REvil 的关系也让人担忧。

研究人员发现了名为 DirtyNIB 的漏洞 ，该漏洞可以通过特制的 NIB 文件针对 macOS Monterey 与 Sonoma 的漏洞进行攻击。该漏洞可以代码执行，凸显了漏洞缓解和更新的必要性 。

卡巴斯基重磅宣布发现了“三角测量”的攻击行动，其中名为 TriangleDB 的复杂 iOS 间谍软件显示了看似合法应用程序也是有潜在风险的 。攻击者利用漏洞获取 root 权限，进行针对性攻击。恶意软件使用 Objective-C 开发并且在内存中运行 ，这使得检测极具挑战
。使用加密的 Protobuf 数据与 C&C 服务器通信，攻击者可以远程控制失陷主机
。

十一月

安全人员发现朝鲜黑客又发起了新的攻击行动，通过 macOS 恶意软件感染区块链开发工程师。Elastic 安全实验室率先披露了这一威胁，该恶意软件名为 Kandycorn（也称 REF700）。攻击在十一月展开，通过多阶段部署到受害者处 。攻击最初使用了 Python 脚本，后续部署了 SugarLoader 和 HLoader 的变种，最终使用了 Kandycorn 远控木马。

该恶意软件支持数据收集、任意命令执行以及其他恶意 Payload 下载等功能，多阶段攻击可能会造成非常重大的损害。

十二月

这一年以 WSProxy 结束，这是一个通过破解软件包进行传播的后门 。攻击者将恶意软件伪装成 GoogleHelperUpdate 代理 ，以此入侵受害者的主机设备。尽管在发现时未观察到恶意 Payload，但攻击者有后续投递攻击的能力，这也提醒使用破解软件的用户是存在风险的 。

结论

2023 年 macOS 平台上的恶意软件持续增长，已经成为不可忽视的网络犯罪趋势。暗网作为网络犯罪者的避风港
，也在助长各类勒索软件即服务、恶意软件即服务等新业态。这些商业模式大幅度降低了攻击者的准入门槛，使任何人都可以使用恶意软件
。macOS 平台上的窃密类恶意软件与后门程序也是大赢家，各类威胁仍然在多样化和动态变化 。