安全公司Intego近日在App Store发现6支假冒Flash安装器(installer)软件的Mac恶意程序,躲过了苹果的公证机制而成功上架。不过苹果很快就封锁了这些程序的开发商。
从macOS 10.15版(Catalina) 起,苹果要求所有Mac App开发商将其应用程序发布前,需送交公证(notarization)检查程序代码是否有恶意组件。未经公证的Mac App在打开时,会遭到macOS上GateKeeper软件的阻挡。但是Intego研究人员发现,已经有恶意程序可以成功躲过这个检查机制。
Intego发现了6个伪装Flash Player安装软件的macOS版MacOffers(或称MaxOfferDeal)木马程序,但是从10月6日到13日,6只磁盘镜像文件(.dmg)及第1阶段的木马样本,在VirusTotal病毒检测平台上完全没有杀毒产品侦测到。到10月12日,VirusTotal上60个杀毒引擎中只有4个侦测到1只第2阶段的恶意程序样本。
研究人员指出,MacOffer之所以能躲过苹果的公证,可能是因为它使用图像隐码术(steganography)的技俩,将恶意程序藏在一个分开的JPEG图形档中(如下图所示)。这个JPEG看似无害,但内置恶意App的.zip档,一旦安装在macOS用户计算机即发布木马程序。这类手法之前见于2019年的VeryMal Shlayer及2011年的假杀毒软件MacDefender。
图片来源_Intego
苹果已在10月12日吊销了这只恶意程序的开发商凭证,阻断这些程序为害。
这并不是Intego第一次发现到苹果公证了恶意程序上架。8月底该公司发现,高达40只广告程序Shlayer及Bundlore家族的恶意程序变种登上App Store。9月间安全研究人员Patrick Wardle也发现Shlayer伪装的Flash Installer。
研究人员说,看到有任何网站要求用户下载Adobe Flash Player千万要留意,因为不仅微软Windows和主要浏览器已不支持Flash Player,Adobe也早已宣布2020年底终止支持。但由于不是所有用户都知道这事,恶意程序还是经常能冒充Flash软件得逞。
根据Google网站,Chrome虽默认关闭Flash,但仍会在背景安装并更新Flash Player。因此安全公司提醒,如果用户仍需使用Flash内容,还是可以用Chrome访问网站,但切记再自己下载以免受害。