研究人員發現偽裝成〈GTA 6〉的 macOS 惡意軟體

期待〈俠盜獵車手 VI〉（GTA 6）遊戲嗎？〈GTA 6〉預定 2025 年登陸 PlayStation 5 及 Xbox Series X/S 等平台，想必許多人早已等不及，看到可能的下載點，就不在意安全性按下載，但你下載的不太可能是〈GTA 6〉，而是竊取敏感個資的惡意程式。

Moonlock 安全研究人員發現，網路出現聲稱〈GTA 6〉檔案的 macOS 惡意軟體，受害者若安裝，軟體就會執行相當聰明的技術來竊取敏感資訊，如從用戶本地端鑰匙圈提取密碼等。

Moonlock 發現的新惡意軟體樣本，是密碼竊取軟體（PSW）的變種，這是一種木馬惡意程式，只在從受感染的電腦中收集登入名稱與密碼，並透過遠端連線或電子郵件的方式來發送給犯罪分子。

這種惡意軟體會將自己偽裝成〈GTA 6〉副本或 Notion 的盜版版，再透過現在常見的社交工程技術來博取受害者信任，誘導他們下載惡意軟體。

值得注意的是，現在所有 Mac 都安裝 macOS Gatekeeper，這項安全功能會在後台執行，以防用戶從網路下載可能含惡意軟體的未簽名應用程式。但其實用戶只要右鍵按一下 DMG 檔案，選「開啟」即可覆蓋安全功能。犯罪份子會透過指導使用者如何開啟惡意檔案的圖片等跳過 Mac 安全機制。

執行後，DMG 會釋出一個名為 AppleApp.txt 的 Mach-O 檔案。隨後，AppleApp 會向源自俄羅斯 IP 位址的特定 URL 發起 GET 請求；如果連線成功，就會開始下載部分混淆的 AppleScript 和 Bash 有效負載。這個有效負載繞過檔案系統，直接從應用程式記憶體執行。

執行時有效負載會使用多方面的方法來實現其惡意目標，按照順序分別是：

• 釣魚憑證
• 針對敏感數據
• 系統分析
• 資料外洩

由於只能透過使用者的系統密碼才能存取畚箕鑰匙圈資料庫，因此這款應用程式執行了第二種巧妙技術，其將部署一個虛假的幫助應用程式安裝視窗，進一步利用信任並誘騙用戶洩漏密碼。

研究人員指出，惡意軟體會精準地搜尋系統目標，從當下流行的網頁瀏覽器（如 Chrome、Firefox、Brave、Edge、Opera 和 OperaGX）中找尋有價值的資料，像是 cookie、表單歷史紀錄，與登入憑證。

另外，惡意軟體也會從 FileZilla、macOS 鑰匙圈資料庫與加密貨幣錢包中尋找最新的伺服器清單。

惡意軟體也會使用更複雜的 AppleScripts 在使用者的主目錄中建立一個秘密資料夾。在這裡任何收集到的登入名稱、密碼和金鑰都會儲存起來，等待網路犯罪分子控制的外部伺服器從受感染系統中提取資料。

那麼要如何防範這種事情發生在自己身上？

雖然現在大約只有 6% 的惡意軟體是針對 Mac 用戶，但實際上威脅者已經比以往都更積極地針對 macOS，使用者保持警惕並使用常見的網路應用程式非常重要。在安裝非 App Store 應用程式前要該要謹慎，且盡可能地調查清楚是否安全，且在任何情況下都不應該按照指示繞過 Gatekeeper；請小心謹慎地看待任何系統提示或敏感資訊請求。要讓自己的裝置與應用程式都維持在最新版本狀態，以防最新的威脅與漏洞。

（首圖來源：Rockstar Games）