文章来源 :安全客
史上首个专门针对MacOS的勒索软件
近日,安全专家发现了首例专门针对Mac计算机的新型勒索软件LockBit。
从历史上看,LockBit勒索软件多使用专为攻击Windows、Linux和VMware ESXi服务器而设计的加密器。
然而,近日安全专家在VirusTotal上发现了一个ZIP存档,其中包括针对macOS、ARM、FreeBSD、MIPS和SPARC CPU的加密器架构。
其中,该存档包含一个名为“locker_Apple_M1_64”的文件,这个文件专门针对运行在 Apple Silicon 处理器上的较新 Mac。还有用于旧 Mac 使用的 PowerPC 处理器的扰码器。
值得注意的是,Apple M1加密器于2022年12月上传到VirusTotal ,这意味着这些样本已经流传了一段时间。
BleepingComputer 分析了 Apple M1 的 LockBit 加密器中的字符串,发现 macOS 加密器中的字符串不合适,表明这些字符串很可能是在测试中随意拼凑的。
例如,有许多对 VMware ESXi 的引用,这在 Apple M1 加密器中是不合适的,因为 VMare 宣布他们将不支持 CPU 架构。
此外,加密器包含一个包含 65 个文件扩展名和文件名的列表,这些文件扩展名和文件名将被排除在加密之外,所有这些都是 Windows 文件扩展名和文件夹。
下面列出了一小段 Apple M1 加密器不会加密的 Windows 文件,这些文件在 macOS 设备上都不合适。
几乎所有 ESXi 和 Windows 字符串也出现在 MIP 和 FreeBSD 加密器中,表明它们使用共享代码库。
macOS 网络安全专家进一步证实了 BleepingComputer 和思科的理论,即这些正在开发/测试构建中,并指出加密器远未完成,因为它缺少正确加密 Mac 所需的功能。
他认为 macOS 加密器是基于 Linux 版本的,并为具有一些基本配置设置的 macOS 编译,但它(还)不是为 macOS 设计的:
-
它只是临时签名,并没有经过公证,因此如果从互联网上下载,将不会(轻松地)在 macOS 上运行。 -
似乎没有考虑保护文件的 macOS 安全机制(例如 TCC、SIP 等),因此无法加密大部分内容。 -
其中包含触发缓冲区溢出(由 _chk_fail_overflow 检测)的错误,会终止程序。
LockBit 回应:
Mac 加密器“正在积极开发中”
对此,23年4月16日,LockBit 对外发言代表LockBitSupp 回应称,Mac 加密器“正在积极开发中”。
LockBit 攻击者向来以推动勒索软件开发的极限而闻名,因此未来看到针对这些 CPU 架构发布的更高级和优化的加密器也就不足为奇了。
虽然 Windows 一直是勒索软件攻击中最具针对性的操作系统,但没有什么能阻止开发人员创建针对 Mac 的勒索软件。
在此,建议包括 Mac 用户在内的所有计算机用户都应养成良好的在线安全习惯,保持操作系统更新、避免打开未知附件和可执行文件、生成离线备份,使用保密性强而独特的密码。
如有侵权请私聊公众号删文
原文始发于微信公众号(上汽集团网络安全应急响应中心):安全客:发现史上首款针对MacOS的LockBit勒索软件加密器
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论