針對MacOS用戶的新型Tarmac惡意軟件

安全研究人員發(fā)現了一種新的Mac惡意軟件。然而，它的某些目的和全部功能仍將是一個謎。這種新的惡意軟件名為Tarmac(OSX / Tarmac)，通過在線惡意廣告(惡意廣告)活動分發(fā)給macOS用戶。

這些惡意廣告在Mac用戶的瀏覽器中運行惡意代碼，將可能的受害者重定向到顯示兜售軟件更新的彈出窗口的站點-通常是Adobe的Flash Player。

死于此技巧并下載Flash Player更新的受害者最終將在其系統(tǒng)上安裝惡意軟件二人組-首先是OSX / Shlayer惡意軟件，然后是第一個啟動的OSX / Tarmac。

自2019年1月起分發(fā)

Confiant的安全研究人員Taha Karim表示，這次分發(fā)Shlayer + Tarmac組合的惡意活動始于今年1月。

Confiant 當時發(fā)布了一份有關2019年1月惡意廣告活動的報告 ; 但是，他們只發(fā)現了Shlayer惡意軟件，而沒有發(fā)現Tarmac。

但是在兩周前發(fā)布的一份后續(xù)報告中，Confiant深入研究了-仍在進行中-惡意廣告活動及其有效載荷。

Karim就是這樣找到Tarmac的，這是最初的Shlayer感染的第二階段有效載荷。但是，研究人員確定的Tarmac版本相對較舊，并且該惡意軟件的原始命令和控制服務器已關閉-或很可能已移至新位置。由于Karim無法完全了解Tarmac的運作方式，因此此分析受到阻礙。

目前，只知道Shlayer在受感染的主機上下載并安裝了Tarmac之后，Tarmac會收集有關受害者硬件設置的詳細信息，并將此信息發(fā)送到其命令和控制服務器。

此時，Tarmac將等待新命令。但是由于這些服務器不可用，因此Karim無法確定Tarmac背后的全部范圍。

從理論上講，大多數第二階段惡意軟件菌株通常都是非常強大的惡意軟件菌株，具有許多侵入性功能。至少在理論上，柏油碎石應該是一個非常危險的威脅。

然而，目前，這個謎仍然存在。

TARMAC已分發(fā)給美國，意大利和日本用戶

但是，盡管尚未發(fā)現Tarmac的全部功能，但我們確實了解有關誰可能被感染的一些詳細信息。

Karim在今天的一次采訪中告訴ZDNet，分發(fā)Shlayer和Tarmac組合的惡意廣告活動針對的是位于美國，意大利和日本的用戶。

盡管美國和日本是惡意廣告和惡意軟件活動的常規(guī)目標，但意大利卻是一個奇怪的選擇。

卡里姆對ZDNet表示：“我們認為行動者是不斷嘗試的，他們可能在意大利找到了一個甜蜜點，介于他們可以獲得的利潤和安全界的關注程度之間。”

由于Tarmac負載是由合法的Apple開發(fā)人員證書簽名的，因此Gatekeeper和XProtect之類的功能不會停止其安裝或顯示任何錯誤。

想要查看自己的Mac系統(tǒng)是否受到此惡意軟件感染的用戶和公司可以在Karim的Tarmac報告中找到危害指標(IoC)。