安全研究人員發(fā)現了一種新的Mac惡意軟件,然而它的目的和功能目前仍然是一個謎。

這款惡意軟件名為Tarmac(OSX / Tarmac),其通過在Mac用戶的瀏覽器中運行惡意代碼,將用戶重定向到某個軟件的更新頁面——通常是Adobe的Flash Player。

在用戶下載Flash Player更新的同時,其系統(tǒng)將會安裝惡意軟件二人組-首先是OSX / Shlayer惡意軟件,然后是第一個啟動的OSX / Tarmac。

自2019年1月開始傳播

Confiant的安全研究人員Taha Karim表示,這次散播Shlayer + Tarmac組合的惡意活動始于今年1月。

Confiant 當時發(fā)布了一份有關2019年1月惡意廣告活動的報告 ; 但是,他們只發(fā)現了Shlayer惡意軟件,而沒有發(fā)現Tarmac。

目前已經確定的Tarmac版本都比較舊,并且原始命令和控制服務器已關閉——或者已經被遷移。

Shlayer 會在受感染的主機上下載并安裝 Tarmac。Tarmac 會收集有關受害者硬件設置的詳細信息,并將此信息發(fā)送到其命令和控制服務器。

之后,Tarmac將等待新命令。但是由于服務器不可用,所以無法確定在這之后會發(fā)生什么。

從理論上講,大多數惡意軟件都非常強大,具有許多侵入性功能,Tarmac 也應該會造成巨大的威脅。但是目前一切都還只是謎。

主要受影響用戶位于美國,意大利和日本

Karim 表示,分發(fā) Shlayer 和 Tarmac 的惡意廣告主要針對的是美國,意大利和日本的用戶。

由于 Tarmac 的 payload 具有合法的 Apple 開發(fā)證書簽名,因此 Gatekeeper 和 XProtect 不會在安裝過程中報錯或者中止。

如果用戶想要查看自己的 Mac 系統(tǒng)是否受到此惡意軟件感染,可以在Karim的Tarmac報告中尋找IoC。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關注數據與安全，洞悉企業(yè)級服務市場：https://www.ijiandao.com/