苹果设备管理与安全领域的领导者Mosyle独家披露了一种名为“JSCoreRunner”的新型Mac恶意软件。这一零日威胁在发现时成功避开了VirusTotal的所有检测,通过名为fileripple[.]com的恶意PDF转换网站传播,诱骗用户下载看似无害的工具。
承诺快速转换HEIC、WebP文件、PDF和Word文档的免费工具已成为解决格式兼容性问题的热门选择。网络犯罪分子利用这一趋势,创建伪装成合法工具的虚假网站来感染毫无戒心的用户。情况已严重到今年早些时候,美国联邦调查局丹佛外勤办公室就针对fileripple[.]com等文件转换网站发出警告,提醒用户注意恶意软件和数据盗窃风险增加。
在某些情况下,用户可能甚至不知道自己已被感染。根据Mosyle的研究,JSCoreRunner分两个阶段展开。第一个安装程序FileRipple.pkg伪装成无害的PDF工具,同时恶意代码在后台悄悄运行。虽然该软件包现在已被macOS阻止,因为其开发者证书后来被苹果撤销,但真正的有效载荷来自第二个名为Safari14.1.2MojaveAuto.pkg的安装程序。由于未签名,它绕过了Gatekeeper的默认保护,且默认情况下不会被阻止。
一旦安装,JSCoreRunner恶意软件会专门针对并劫持用户的Chrome浏览器,通过更改其搜索引擎设置,使用户默认使用欺诈性搜索提供商。这使用户面临键盘记录、搜索重定向到钓鱼网站以及推广恶意搜索结果的风险,最终可能导致任何形式的数据和/或财务盗窃。
Mosyle安全研究团队的更多发现详见以下独家新闻稿。
新闻稿
Mosyle发现新型Mac恶意软件“JSCoreRunner”,具备零日检测能力
苹果安全领域的领先企业Mosyle发现了一场名为“JSCoreRunner”的新型复杂Mac恶意软件活动。该威胁以木马/广告软件形式运作,通过虚假PDF转换网站“fileripple[.]com”分发。在分析时,该恶意软件在VirusTotal上零检测,使其成为能够绕过现有安全措施的“零日”威胁。这凸显了Mac管理员在安全态势上保持警惕和主动的重要性,因为新的和不断演变的威胁持续出现。
恶意软件分两个阶段运行。第一阶段是一个名为“FileRipple.pkg”的软件包,伪装成合法的PDF工具,为此恶意软件启动一个进程,创建一个虚假的webview,显示一个看似合法的PDF工具预览,同时恶意活动在后台静默运行。该软件包由一名开发者签名,但其签名后来被苹果撤销,这意味着macOS将在启动时阻止该软件包。然而,第二阶段名为“Safari14.1.2MojaveAuto.pkg”,未签名,因此默认情况下不会被阻止。第二阶段直接从同一域名下载,并执行主要的恶意有效载荷。
一旦第二阶段启动,它会执行一系列操作来感染系统。首先向命令与控制服务器发送请求以确认安装。然后识别真实用户,移除应用程序的隔离属性,并设置路径以执行主二进制文件。
目前,JSCoreRunner的主要目标是劫持用户的网页浏览器。具体来说,恶意软件针对macOS上的Google Chrome配置文件,遍历~/Library/Application Support/Google/Chrome/文件夹以识别默认配置文件和其他附加配置文件。恶意软件通过创建一个新的TemplateURL对象来修改搜索引擎设置,该对象定义了搜索URL、新标签页URL和显示名称。这使得恶意软件能够将用户重定向到欺诈性搜索引擎。为避免检测并隐藏其活动,恶意软件还向Chrome传递参数以隐藏崩溃日志和“恢复上次会话”气泡。
对于希望将此威胁添加到其安全工具的Mac管理员,Mosyle提供了以下哈希值:
FileRipple.pkg – (第一阶段) – 3634d1333e958412814806a5d65f1d82536d94cac21ec44b8aba137921ae3709
FileRipple(Mach-O) – 5828ab3abf72c93838a03fb5a9ca271ddbb66ad4b3a950668a22cd8f37ac9b04
FileRipplle(PostInstall) – 6c5e51e7aeb1836d801424f20ffd56734cdc35a75ae3cca88002f94c40949a27
(JSCoreRunner)
Safari14.1.2MojaveAuto.pkg – (第二阶段) – 23186719325c87eb4e17aae0db502e78fb24598e97c8a9c151d7c347e72c0331
Updater(mach-o) – a7a02c6f5073133added3bfc9c67ca385168ba35469752fcddf5e1ed5fcef1ce
Preinstall – 35c64a2111c0b8e728ee82db3d727319720e612e9a3dfe85d445f5b90fc1485a
Postinstall – 84f8e3f996cf907f71ee4823c1bc91a82589c5e4fcd98a9084e51b02ad3515dd
Javascript(Obfuscated) – a86fe93e1a4c451c11b628f622b80770f40254de4a050bbe8e4caae7ef89dfa4
Mosyle安全研究团队的这一发现强调了持续监控和多层安全方法的必要性,以防范能够绕过公证和签名验证等标准安全检查的新型复杂威胁。Mac管理员还应将用户教育作为防御策略的重要组成部分,提醒用户谨慎下载来自未经验证来源的软件。
