[閒聊] 發現偽裝成 GTA 6 的 macOS 惡意軟體

果然從火狐時代至今，內容物詐騙就沒有停止過的一天。

https://infosecu.technews.tw/2024/04/01/faje-gta-6-macos-stealer/

研究人員發現偽裝成 GTA 6 的 macOS 惡意軟體

作者 邱 倢芯 | 發布日期 2024 年 04 月 01 日 14:41 |

研究人員發現偽裝成 GTA 6 的 macOS 惡意軟體

期待俠盜獵車手 VI（GTA 6）遊戲嗎？GTA 6 預計將會在 2025 年登陸 PlayStation 5
及 Xbox Series X/S 等平台，但想必有許多人早已等不及，看到可能可以下載的點，完全不在意安全性就按下下載。但你下載的不太可能是 GTA 6，而是一款會竊取你敏感個資的惡意程式。

據 Moonlock 安全研究人員發現，現在網路上出現了一款聲稱是 GTA 6 的 macOS 惡意軟體，一旦受害者安裝了這款應用程式，軟體就會執行一種相當聰明的技術來竊取的你的敏感資訊，像是從用戶本地端鑰匙圈提取密碼等。

Moonlock 發現的新惡意軟體樣本，是密碼竊取軟體（PSW）的變種，這是一種木馬惡意程式，只在從受感染的電腦中收集登入名稱與密碼，並透過遠端連線或電子郵件的方式來發送給犯罪分子。

這種惡意軟體會將自己偽裝成 GTA 6 副本或 Notion 的盜版版本，再透過現在常見的社交工程技術來博取受害者信任，進一步誘導他們下載惡意軟體。

值得注意的是，現在所有 Mac 都安裝了 macOS Gatekeeper，這項安全功能會在後台運行，以防用戶從網路上下載可能包含惡意軟體的未簽名應用程式。但是其實用戶只需要右鍵按一下 DMG 檔案，並按下「開啟」即可覆蓋此一安全功能。犯罪份子會透過包含指導使用者如何開啟惡意檔案的圖片來跳過 Mac 的安全機制。

執行後，DMG 會釋出一個名為 AppleApp.txt 的 Mach-O 檔案。隨後，AppleApp 會向源自俄羅斯 IP 位址的特定 URL 發起 GET 請求；如果連線成功，就會開始下載部分混淆
的 AppleScript 和 Bash 有效負載。這個有效負載繞過檔案系統，直接從應用程式記憶體執行。

執行時有效負載會使用多方面的方法來實現其惡意目標，按照順序分別是：

釣魚憑證
針對敏感數據
系統分析
資料外洩

由於只能透過使用者的系統密碼才能存取畚箕鑰匙圈資料庫，因此這款應用程式執行了第二種巧妙技術，其將部署一個虛假的幫助應用程式安裝視窗，進一步利用信任並誘騙用戶洩漏密碼。

研究人員指出，惡意軟體會精準地搜尋系統目標，從當下流行的網頁瀏覽器（如 Chrome、Firefox、Brave、Edge、Opera 和 OperaGX）中找尋有價值的資料，像是 cookie、表單歷史紀錄，與登入憑證。

另外，惡意軟體也會從 FileZilla、macOS 鑰匙圈資料庫與加密貨幣錢包中尋找最新的伺服器清單。

惡意軟體也會使用更複雜的 AppleScripts 在使用者的主目錄中建立一個秘密資料夾。在這裡任何收集到的登入名稱、密碼和金鑰都會儲存起來，等待網路犯罪分子控制的外部伺服器從受感染系統中提取資料。

那麼要如何防範這種事情發生在自己身上？

雖然現在大約只有 6% 的惡意軟體是針對 Mac 用戶，但實際上威脅者已經比以往都更積極地針對 macOS，使用者保持警惕並使用常見的網路應用程式非常重要。在安裝非 App
Store 應用程式前要該要謹慎，且盡可能地調查清楚是否安全，且在任何情況下都不應該按照指示繞過 Gatekeeper；請小心謹慎地看待任何系統提示或敏感資訊請求。要讓自己的裝置與應用程式都維持在最新版本狀態，以防最新的威脅與漏洞。

--