威鋒網 3 月 15 日消息,近日安全公司 Sixgill 在俄羅斯某網路犯罪論壇上發現,有人正在出售一種新型 Mac 特洛伊——Proton,賣家稱還會給買家提供正版蘋果代碼簽名,特洛伊的“毒性”會因此大大增強。
據 Sixgill 介紹,Proton 是一種針對 macOS 系統的遠端存取木馬,使用 Objective C 語言編寫,可獨立運行。該木馬的開發者稱它是“專業的 FUD 監控和控制解決方案,有了它你幾乎可以在目標 Mac 上做任何事情。”
有了根存取權限,攻擊者就可以利用該木馬執行按鍵記錄、上傳和下載檔案、截屏、訪問網路攝像頭以及連接 SSH 和 VHC 等任務。該惡意軟體還能夠通過定制視窗來獲取使用者的更多資訊,比如信用卡號等。
Sixgill 指出一旦受到該惡意軟體的攻擊,使用者本機存放區的資料中受到威脅的不僅僅是那些資訊,還包括 iCloud 存取權限,雙因素驗證在這個惡意軟體面前形同虛設。
Sixgill 認為該惡意軟體的開發者應該是不惜一切代價才拿到蘋果的簽名代碼,也就是說已經通過了蘋果針對協力廠商軟體發展者而設的嚴格的過濾流程。開發者要麼是篡改了 Apple Developer ID Program 的登記資訊,要麼是利用偷來的憑證才有可能通過蘋果的簽名流程。
另外,Sixgill 分析認為該惡意軟體的開發者應該是擁有 macOS 中還未被封堵的零日漏洞,利用這個漏洞僅僅獲得了根存取權限。雖然這個惡意軟體存在一定的威脅,但是要感染目標系統它仍得借助現有的方法:偽裝成定制的圖示和名稱來欺騙目標使用者下載和安裝。
Proton 的開發者想將這個木馬以所謂的合法的安全工具的形式銷售出去,而且還設立了專門的網站,聲稱它可以防止企業間諜,協助管理員管理系統,也適合家長監控孩子的網路使用。不過在 Sixgill 發佈他們的報告揭露它的真面目之後,這個網站就下線了。
Proton 現在已經大減價,此前售價是 100 比特幣(約合 126,000 美元),可無限安裝,但是在受到各方指責之後,它的售價有所調整,40比特幣(約合 50,400 美元),可無限安裝;2 比特幣(約合 2,512 美元),只可安裝一次。