2023年macOS恶意软件全年回顾

在2023年，攻击者将目光投向了macOS平台，尽管传统上公众认为macOS比其他平台更安全，但苹果操作系统也面临各种网络攻击。我们将回顾2023年最重要的macOS恶意软件，详细介绍其特征和影响。

一月

2023年伊始，Dridex RAT首次出现。Dridex RAT是Dridex银行木马的变种，在Windows平台上曾经占据一席之地。攻击者现在也将其迁移到macOS平台，以覆盖更多潜在受害者。这款恶意软件属于信息窃密类，旨在窃取各种用户凭据。Dridex RAT使用了一种新技术：将恶意宏代码与Mach-O或可自动执行的Mac文件结合起来。这种方式使攻击者无需再将恶意代码藏在恶意Word文件中，以发票等主题欺骗用户。Dridex被归因于总部位于俄罗斯的网络犯罪团伙Evil Corp（Indrik Spider）。

二月

二月是挖矿猖獗的月份。攻击者将恶意软件伪装成合法软件，如Apple Logic Pro X和Final Cut Pro等，诱骗受害者下载并安装该恶意软件应用程序。攻击者在受感染的主机上部署开源矿机XMRig进行挖矿，以获取门罗币或其他加密货币的利润。众所周知，此类恶意软件通常会感染数十万台设备。

三月

攻击者加快了步伐，出现了SmoothOperator 3CX和臭名昭著的MacStealer。这两者都属于窃密类恶意软件，这类恶意软件也是macOS平台增长最快的恶意软件类型之一。

SmoothOperator 3CX是针对供应链进行攻击的高级窃密类恶意软件，被认为与朝鲜黑客组织有关。SmoothOperator恶意软件入侵了流行的VoIP软件3CX，这是全球数十万客户使用的软件，甚至包括许多知名大公司。安全专家认为，Smooth Operator攻击有可能是自2020年SolarWinds攻击以来最严重的供应链攻击。

MacStealer的攻击者也采用了类似的方法，利用Telegram从浏览器和钥匙串的数据库中提取敏感数据。该恶意软件影响了Intel、M1和M2 CPU的各种苹果设备，以及macOS Catalina和更新版本的操作系统。该恶意软件通过.dmg文件中的虚假密码提示进行传播，然后利用Python将收集到的数据回传到C&C服务器。

四月

四月是网络安全最繁忙的一个月，出现了RustBucket、AMOS（Atomic Stealer）、POOLRAT和Lockbit等恶意软件，对全球的macOS用户发起了大规模攻击。

RustBucket以其建立持久化、检测逃避的特点给安全分析人员留下了深刻印象。该后门被认为与朝鲜黑客BlueNoroff有关，该小组隶属于Lazarus Group，后者被普遍认为是朝鲜的RGB部门负责管理的晶莹黑客小组。

AMOS（Atomic Stealer）可以说是全年最活跃的恶意软件，攻击者在Telegram中对其进行大肆宣传。AMOS专门针对macOS系统开发，旨在窃取各种敏感信息。该恶意软件通过.dmg文件进行传播，显示虚假的密码提示以获取系统密码。

Lockbit攻击者在2023年也盯上了macOS系统，至此该勒索软件团伙已经横跨多个平台进行加密，甚至包括使用Apple M1芯片的设备。

五月

五月的后门Snake和Geacon异常活跃，二者都是针对macOS进行攻击的。Snake是Turla组织开发的恶意软件，该团伙经验丰富，自2004年开始一直存在。Turla专门开发了恶意后门Snake来入侵macOS设备。

与Snake相比，来自Geacon的威胁没有那么大。Geacon是业界知名的Cobalt Strike的Go实现版本，从5月开始支持macOS平台。

六月

REF9134（又名JokerSpy）在六月异军突起获得大量关注，这是一个复杂的网络入侵工具。该恶意软件针对日本加密货币交易所进行攻击，攻击者利用sh.py后门部署了macOS Swiftbelt工具。

七月

七月是攻击者异常活跃的月份。攻击组织DangerousPassword以加密货币交易所开发人员为攻击目标，横跨Windows、macOS和Linux系统。在macOS和Linux系统中，攻击者将恶意代码注入Python脚本窃取用户数据。另一个后门GorjolEcho则是伊朗黑客组织APT42的手笔，该组织针对中东事务和核安全专家发起过多次攻击。

八月

八月的恶意软件继续多元化发展，HVNC远控木马的兴起帮助了攻击者未授权访问macOS设备。相比之下，窃密恶意软件XLoader在2023年8月通过OneNote进行传播。总体来说，广告类恶意软件卷土重来。勒索软件在全年也留下不可磨灭的痕迹，Akira勒索软件在八月通过Cisco VPN入侵进行勒索成为了头条新闻。