苹果电脑用户请注意,你的电脑可能被恶意软件盯上了,包括最新版 M1 系列。
3 {$ P) c% H. w! R$ M8 V, d v5 w y
& ?7 O/ C7 F/ P1 c截止 2 月 17 日,全球 153 个国家的 30000 台电脑已经被这种恶意软件入侵了。' Y, Z* {3 E) u7 J: E
' R* D& f. D8 l+ E. g7 d% U2 w' s3 x
但更可怕的还在后面。/ }) Q1 T1 q( m9 P
' f7 g7 Q* h' r2 {+ \' C" Q4 z- a8 M. v
根据安全研究人员的描述,这个恶意软件每隔一小时运行一次,且带有自毁功能。, w! @- {4 `: Y2 L/ {7 c
3 @5 B3 a; \6 S) \: O目前还不清楚它在侵入用户的 Mac 后,会获取哪些隐私信息,也还没有出现用户被劫持的反馈,当然,研究人员仍在试图了解它的确切作用,以及其自毁功能的目的。# `$ z p" {7 o) _) b. y8 i
8 U* |& y- _; S; r$ t2 A) p
新型恶意软件是什么?1 i7 H% P' V8 e* l
5 b" a3 ~1 D! ?/ T/ n
( h; G5 X8 {3 E$ [
4 ]& [3 B, U3 t! n. d6 A/ k那么,这个新型恶意软件究竟是什么呢?( E3 s3 i8 }0 A' b1 }! C
) I+ A6 H6 Q3 D- Q
根据安全研究人员的介绍,安全人员将其命名为“Silver Sparrow”(银麻雀)。该恶意软件可利用 macOS Installer JavaScript API 执行可疑命令。* ^" |% L( u V% W6 A2 f3 s
! T# A. F! \" @7 e# y, X除此之外,Silver Sparrow 恶意软件还可以在 Apple 的 M1 芯片上本地运行。
0 `3 a$ R# r( g# `3 X' D% r
9 C/ _+ m% x$ F: p0 l8 L$ C- K7 p6 W0 s+ W: O8 t
1 j6 r6 g6 _* {" c4 s! }0 {基于此,研究人员调查发现了银雀恶意软件的两个版本:即 Intel 系列 Mac 设备和基于M1的、以及旧版的 Mac 设备。
5 T4 e$ N* \5 n+ B8 v+ |
|2 R6 Y, n" F4 }: J$ o3 a+ I1 x; h' I& [9 h7 Z7 @0 Z
6 ?, R6 j0 G. G- L; p行为分析显示,每隔一小时,受感染的 Mac 就会检查一个控制服务器,看看是否有新的恶意软件应该运行的命令或要执行的二进制文件。1 l* T$ Z- M5 ^8 W' J( O4 S
9 [2 }/ H1 ?4 _$ o0 ?% n+ b
) M4 j) ~+ w5 A# h, s$ n- J3 b2 W j/ `( _8 Q. R; r9 f( l% l6 Q* V. \
然而,到目前为止,研究人员还未发这种恶意软件究竟是如何传播的。) T3 V+ E4 b$ q( D' e
5 g4 V0 U8 m6 A" |
更可怕的是,该恶意软件自带自毁功能,且在完成攻击之后,还可让自己不留痕迹。
\, N% _( _( {$ x2 i0 L7 X4 [* t0 g* k8 k, [" L) P
不过到目前为止,还没有任何迹象表明自毁功能已经被使用。
e/ n& a' W* q8 z) R' _. Q8 v$ x8 b9 X' [6 q6 `: T1 j2 z- s j P
但是一旦满足未知的条件,恶意软件可能就会开始行动,后果怎样,我们也无从得知。, K1 S* C! q! W! G3 R8 b' o
0 q$ o- y- V, l2 O$ Q
对此,研究人员也表示了担忧:
" @/ w" o1 H1 i6 @4 ? u0 y8 K% x, B6 ^5 F+ s' p/ W
虽然我们还没有观察到银雀提供额外的恶意有效载荷,但其前瞻性的M1芯片兼容性、全球覆盖范围、相对较高的感染率和操作成熟度表明,银雀是一个相当严重的威胁,其独特的定位是在一瞬间提供潜在的影响性有效载荷。
: H; @9 o9 U% P$ H% U ( ]+ c7 E0 M7 h! Z+ m
1 h- ~0 A" K3 x9 f如何发现和阻止?; X& n4 m, o5 c0 p% t
+ d! X# |2 H4 n! Q* V, Q3 J7 k' A
+ ^' t3 z! M+ P3 Z/ ^ ^8 Z: X那么,我们如何发现可能被这种恶意软件攻击了呢?有什么有效的办法吗?0 x/ S$ K! P1 _4 x6 p
, {$ a) K6 a5 n+ b
根据安全研究人员的调查,因为这种恶意软件的攻击路径并不明晰,所以目前研究人员仅能明确的是这是一种恶意广告软件。6 L! a8 [9 v3 B
/ w/ a$ t& m; w: n+ l
不过,研究人员发现,该恶意软件可能会在~/Library/LaunchAgent 文件夹下生成 agent/verx,后缀为 plist 的文件。
/ T5 ^+ N' F9 |4 y! }# h- \- w7 d8 ^$ _
简言之,一旦发现你的电脑中出现了这样的文件后缀,很可能你就被恶意软件盯上了。
4 A U( Q3 `0 t7 g- X* L" F3 q3 z3 z6 {4 l% C$ G
至于解决办法,还是我们经常说的:
) U+ }' S/ Y9 ?! M
! t* W7 `. s! \+ M安装防火墙。
( ^8 z! a B1 D; R. M: V, f2 Z5 T8 [
不要点击来源不明的链接或者文件。
" K/ U5 \; p$ Q1 }
8 j& g6 J1 U" i6 C( L9 S! l
但最好的解决办法还要等安全研究人员的进一步调查。1 ^( O2 l( S# V: v7 Y0 g
/ I$ j! p+ B5 x; }; k% c) j
恶意软件盯上苹果8 {) z) J, @) A, k# o
, e: f' B8 V( y6 q5 N ?9 O9 m( Q* r7 ^9 ^5 _( ^1 ^3 U- m8 `6 _4 Q& n* W
需要注意的是这是苹果近期发现的第二个恶意软件攻击。* ^7 z" s, t) C6 `
e4 f: e6 P, I0 O2 月 18 日,安全研究人员发现了首个针对 M1 芯片编写的恶意软件 GoSearch22。7 J. k6 }, j/ c( [! ?5 N
7 `/ Y9 W1 x+ R) w# w* l3 ^这个恶意软件采用的是常规的广告弹窗拓展,在浏览器中会收集手机用户数据,并且弹出大量广告等窗口。
) @( d1 K( \% ^2 ^4 g7 m2 S
4 i3 y6 s. o4 v! w( t% `+ V0 q8 J" a3 x. A4 m* p9 q0 t6 x
9 } l9 w, ^* Q4 L: \
需要注意的是,X86 版 Mac 的杀毒软件,可以轻易地识别出来 Gosearch22 这个恶意软件,最新版 M1版的苹果电脑却检测不到。" o3 q! |, E2 Q% b' i
$ S4 } c2 e% y; J' r( `
除此之外,苹果最新版的 M1 版本也出现了一些其他问题。/ v4 @, H: n6 |9 B5 U, a O
* v+ o/ j4 @ T7 n; F( v, ~( J5 a# b; S0 p
据外媒 MacRumors 报道,他们获得了一份内部备忘录,显示苹果已经通知服务商有关于可能导致 M1 Mac mini 屏幕上出现 “粉红色正方形或像素点”的问题。
; b; n5 x `5 n& W+ I8 v- N, R* V* T! C" b4 {) q, r/ L1 D# ?
苹果没有承诺在何时修复该问题,但苹果提供了一些检查方法帮助用户排查问题。9 _3 }* [% n$ }& I# v6 ^( V6 o
: @0 q! A( C- S( H' \据悉,该备忘录于 2 月 19 日发布,即 macOS Big Sur 11.2.1 发行一周后,但该版本 macOS 似乎未解决该问题,macOS Big Sur 11.3 自 2 月 2 日以来一直处于 beta 测试中,预计可能在晚些时候发布。4 U4 d) b3 R' ]% F1 w
7 J, o; s2 x" |0 j7 W* E9 J) A
雷锋网也了解到,自去年 11 月份发布 M1 Mac mini 以来,Apple 支持社区、Reddit 等论坛大量用户都反馈了这个问题,但目前导致该问题出现的确切原因尚不清楚。
) z; z# Q/ I0 v" T7 g2 `, x0 {% Y/ F1 s4 }! [0 W; w' J
由此看来,M1还有很多问题需要解决。
! ^: P0 Q- U' ?7 E
+ O5 { p! U* i( d8 P4 U7 f雷锋网雷锋网雷锋网
& G9 R( F9 J5 g0 k! [; J8 b9 c% H
9 W& @8 t! L; W$ d+ Y参考资料:" N' a! }8 Q" D" t8 Q
- B6 s$ a3 J) L B0 C【1】https://arstechnica.com/information-technology/2021/02/new-malware-found-on-30000-macs-has-security-pros-stumped/
, h5 q+ E) d# o, J' T x7 m) ?; k1 ?5 k7 q2 s
【2】https://redcanary.com/blog/clipping-silver-sparrows-wings/ W! d- A! n/ A3 E9 D! O1 l
. ^7 ^8 |$ Q+ d- d2 W W【3】https://www.toutiao.com/a6930852938961273347/9 W* R. ?# c! I* ]0 a2 D
2 `& ?0 \4 E) ~2 r! D& ~9 v
【4】https://www.theregister.com/2021/02/22/silver_sparrow_malware_for_apple_m1_silicon/* m8 E Y: r& |
' Z- F+ ~# h5 Z6 q) P9 W【5】https://arstechnica.com/gadgets/2021/02/apple-m1-native-malware-has-already-begun-to-appear/ |
提升卡
置顶卡(30天)
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡