网络安全研究人员发现了一个针对macOS系统的新型恶意软件家族,该软件采用先进的检测规避技术和多阶段攻击链。这款名为DigitStealer的信息窃取程序通过多个有效载荷窃取敏感数据,同时在受感染设备上留下的痕迹极少。
伪装传播机制
该恶意软件伪装成合法软件,使用巧妙方法绕过苹果的安全防护措施。DigitStealer通过伪造的热门macOS应用程序版本进行传播。研究人员在一个名为DynamicLake.dmg的未签名磁盘映像文件中发现了该恶意软件,该文件伪装成合法工具。攻击者诱骗用户运行名为"Drag Into Terminal.msi"的文件,从而启动感染流程。发现时,VirusTotal上没有任何杀毒引擎能检测到该威胁,使其极具危险性。
针对性硬件检测
该恶意软件的突出特点是使用先进的硬件检查来避免在虚拟机或老旧Mac电脑上运行。Jamf安全研究人员发现,DigitStealer专门针对较新的Apple Silicon系统(特别是M2及以上芯片),同时避开基于Intel的Mac甚至M1设备。恶意软件在执行主要有效载荷前会进行全面的系统检查。
感染过程始于一个简单的bash命令,该命令从远程服务器下载编码脚本。解码后,该脚本执行多项验证步骤,确保仅在具有特定硬件特性的物理Mac电脑上运行。恶意软件还会检查系统区域设置,如果检测到特定国家/地区就会退出,可能是为了避免被起诉。
通过高级硬件检查实现检测规避
DigitStealer使用复杂技术检测虚拟机和分析环境。恶意软件通过系统命令查询硬件信息,并在输出中搜索"Virtual"或"VM"等关键词。一旦检测到这些环境,恶意软件会立即停止执行。最有趣的是它使用以下命令检查特定的Apple Silicon功能:
sysctl -n hw.optional.arm.FEAT_BTI
sysctl -n hw.optional.arm.FEAT_SSBS
sysctl -n hw.optional.arm.FEAT_ECV这些命令用于验证目标系统是否存在高级ARM处理器功能。只有M2或更新芯片具备这些能力,从而有效将感染范围限制在最新的Mac电脑上。这种方法帮助恶意软件避开安全研究人员的检测,因为研究人员通常使用虚拟机或老旧硬件进行分析。
多阶段攻击流程
通过所有验证检查后,DigitStealer会从远程服务器下载四个独立有效载荷。每个有效载荷都有特定用途,从窃取浏览器凭证和加密货币钱包,到修改Ledger Live等合法应用程序。该恶意软件使用合法的Cloudflare服务托管有效载荷,使得检测和拦截更加困难。