蘋果裝置管理與安全廠商 Mosyle 近期揭露了一種新型 Mac 惡意軟體的細節,該惡意軟體被命名為「JSCoreRunner」。這項零日威脅在發現時成功規避了惡意程式分析平台 VirusTotal 的所有偵測,並透過名為 fileripple[.]com 的惡意 PDF 轉檔網站散布,藉由欺騙使用者下載看似無害的工具進行攻擊。
免費工具聲稱能快速進行 HEIC 與 WebP 檔案、PDF 與 Word 文件等格式的轉檔,已成為網路上解決相容性問題的常見選項。網路犯罪分子利用這股趨勢,建立偽裝成合法工具的假網站來感染毫無戒心的使用者。情況嚴重到今年稍早,FBI 丹佛辦公室甚至發布警告,指出來自轉檔網站(如 fileripple[.]com)的惡意軟體與資料竊取風險正在增加。
在某些情況下,使用者甚至可能完全不知道自己已遭感染。據 Mosyle 的研究,JSCoreRunner 的運作分為兩個階段。第一個安裝檔 FileRipple.pkg 假裝是一款無害的 PDF 工具,但實際上在背景中執行惡意程式碼。
雖然該安裝包後來因開發者憑證遭蘋果撤銷而已被 macOS 阻擋,但真正的惡意載荷來自第二個安裝檔 Safari14.1.2MojaveAuto.pkg。由於它未簽署,因此能繞過 Gatekeeper 的預設防護,且不會被自動封鎖。
一旦安裝完成,JSCoreRunner 惡意軟體會特別針對並劫持使用者的 Chrome 瀏覽器,透過更改其搜尋引擎設定,使其在不知情的情況下預設為惡意搜尋提供者。這讓使用者暴露於鍵盤記錄、搜尋結果被重新導向至釣魚網站,甚至遭遇惡意推廣搜尋結果等風險,最終可能導致資料或財務被竊取。
(首圖來源:pixabay)
科技新報粉絲團
加入好友
訂閱免費電子報
