网络安全企业Malwarebytes近日披露了一款针对macOS的新木马程序OSX.LamePyre,它伪装成游戏玩家常用的通信程序Discord,却会在背景不断地截取屏幕画面,并将它们发送到远程的C&C服务器。
虽然伪装成Discord,但它并未具备任何Discord功能,而是一个Automator脚本程序,执行时会在菜单列上出现通用的Automator图标,并解码与执行一个以Python撰写的有效载荷,其中有个Python程序会重复地截取屏幕画面并它们传给黑客,另一个Python程序则会设置一个EmPyre后门。
根据研究人员的分析,OSX.LamePyre应该是个还在开发中的应用程序,因为它甚至不是Discord程序的恶意版,完全没有任何合法功能,也不用心设计图标,一下子就会被Discord的用户识破。
不过,等到用户发现的时候,该恶意程序已经设置了激活代理,打开了后门,也送出不少屏幕画面。 Malwarebytes建议用户不要自官网以外的地方下载程序,也勿打开不明邮件的附加文件。