alixixi 8 月 28 日消息,科技媒体 9to5Mac 昨日(8 月 27 日)发布博文,报道称苹果设备管理与安全公司 Mosyle 报告了名为“JSCoreRunner”的新型 Mac 恶意软件,通过伪装成 PDF 转换工具的网站 fileripple [.] com 传播。
alixixi援引博文介绍,这款新型 Mac 恶意软件成功逃避了 VirusTotal 上的所有检测,属于零日攻击,能够绕过现有安全防护。攻击者通过虚假文件转换网站 fileripple [.] com,引诱用户下载伪装成 PDF 转换工具的程序,从而在用户不知情的情况下植入恶意代码。
该恶意软件采用双阶段感染模式。第一阶段的安装包名为 FileRipple.pkg,界面上会显示一个看似正常的 PDF 工具预览,实际上在后台静默运行恶意代码。虽然该包的开发者证书已被苹果吊销,macOS 会阻止运行,但真正的恶意载荷隐藏在第二阶段的 Safari14.1.2MojaveAuto.pkg 中。
第二阶段安装包未签名,因此可绕过 Gatekeeper 默认保护机制。执行后,它会先与远程命令控制服务器通信确认安装,然后去除隔离属性并设定主程序路径,完成系统感染。此过程完全在用户不知情的情况下进行,增加了检测难度。
JSCoreRunner 的主要目标是劫持用户的 Google Chrome 浏览器,会扫描~/Library/ Application Support / Google / Chrome/ 目录下的所有配置文件,包括默认和额外用户配置文件,修改搜索引擎模板,将搜索和新标签页重定向到伪造搜索服务。同时,它会隐藏崩溃日志及“恢复上次会话”提示,降低用户察觉风险。
一旦浏览器被劫持,用户可能被引导至钓鱼网站、恶意广告或推广结果页面,进而遭遇键盘记录、数据窃取或财务诈骗。Mosyle 提供了相关文件的哈希值,方便安全人员添加检测规则,并强调应采用多层安全策略与用户教育相结合的防御模式。
