Mac上首次出現word宏惡意軟體 可竊取用戶敏感數據

以前word宏惡意軟體攻擊的對象一直是Windows系統電腦，但是現在黑客們的興趣開始轉向Mac。宏的概念可以追溯到20世紀90年代，宏是自動執行任務的一系列命令集。Microsoft Office支持用VBA(Visual Basic Application)語言來編寫，但是黑客們也可以利用宏來安裝惡意軟體進行惡意行為。

最近，安全專家發現有些黑客利用攻擊Windows系統的方法，即利用word文檔中的惡意宏來在Mac電腦上安裝惡意軟體並且竊取用戶數據。

如何利用宏文件竊取Mac用戶信息

攻擊者使用較為吸引人的標題誘騙用戶打開文件，比如「特朗普當選美國總統支持者與反對者-卡內基國際和平基金會.docm」。當點擊惡意宏文件之後，Mac電腦用戶會被詢問是否同意打開宏文件。一旦選擇允許，用Python寫的宏就會下載惡意軟體payload，黑客們就會獲取攝像頭，獲取瀏覽器歷史記錄，竊取密碼和秘鑰。

Synack安全公司的Patrick Wardle在其博客里說，宏文件里的Python函數與EmPyre（開源的Mac和Linux post-exploitation agent）極其類似。

Wardle跟蹤了惡意宏文件發現了一個俄羅斯的IP地址，並且這個IP地址以前與釣魚攻擊等惡意行為有關。研究人員還發現了另外一個類似的事件，也是基於對Windows的攻擊展開的，誘騙用戶下載和安裝虛假的軟體更新，然後獲取用戶的keychain、用戶名、密碼等敏感數據。

MacDownloader不是偽裝成Adobe Flash的更新，就是偽裝成廣告移除工具，對於大多數用戶來說，看到這個提示是很反感的，一般都會選擇拒絕更新。這正是黑客們所期望的，一旦用戶點擊了拒絕更新或點擊了忽略一次，惡意軟體就授權獲取用戶的keychain，用戶名和密碼，收集敏感數據，然後將獲取的數據發送給黑客。

目前Mac OS X上的惡意軟體現在的攻擊目標主要是國防工業。而避免word宏文件攻擊最好的方式就是選擇拒絕在電腦上運行宏，並且避免從第三方或不信任的網站上下載軟體。

本文參考來源於thehackernews，如若轉載，請註明來源於嘶吼： http://www.4hou.com/info/news/3364.html 更多內容請關注「嘶吼專業版——Pro4hou」

推薦閱讀：