macOS 恶意软件家族被曝光，苹果 Mac 用户需谨慎下载破解软件

卡巴斯基安全实验室近日发布一篇博文，警示苹果 Mac 用户注意一种新型针对 macOS 设备的恶意软件家族。该恶意软件主要伪装成知名 macOS 软件的破解版，诱骗用户下载并输入管理员密码，从而获取设备的管理权限。因此 Mac 用户需要谨慎下载破解软件。

报告称这种新型恶意软件家族高度复杂，一旦获得权限，这种恶意软件会使用名为“AuthorizationExecuteWithPrivileges”技术来运行相关可执行文件。然后，它会验证是否存在 Python 3，并在需要时进行安装，这就造成了典型的应用程序打补丁过程的假象。

随后，恶意软件会以“apple-health [.] org”为掩护，与控制服务器联系，下载能够执行任意命令的 base64 编码的 Python 脚本。研究人员发现，攻击者采用了一种创新方法来生成联系 URL，通过将硬编码列表中的单词与随机字母序列结合，每次生成独特的子域。

卡巴斯基专家指出，这些 DNS 请求看似正常，但实际上是为了检索包含恶意有效载荷的 TXT 记录。DNS 服务器的响应包括三个 TXT 记录片段，每个片段都经过 base 64 编码和 AES 加密。这些片段组合起来形成完整的 Python 脚本。

这种恶意软件家族不仅能够建立后门、收集用户信息，如操作系统版本、应用程序、CPU 类型和外部 IP 地址等，还会修改系统文件以确保恶意脚本在重启后仍能保持激活状态。此外，它还会扫描比特币核心和 Exodus 钱包，替换为攻击者控制的篡改版本，从而窃取重要信息。

卡巴斯基安全实验室提醒苹果 Mac 用户要谨慎下载破解软件，并加强安全防护措施，以免成为这种新型恶意软件的受害者。