高度复杂的macOS DigitStealer采用多阶段攻击逃避检测

网络安全研究人员发现了一个针对macOS系统的新型恶意软件家族,该软件采用先进的检测规避技术和多阶段攻击链。这款名为DigitStealer的信息窃取程序通过多个有效载荷窃取敏感数据,同时在受感染设备上留下的痕迹极少。

伪装传播机制

该恶意软件伪装成合法软件,使用巧妙方法绕过苹果的安全防护措施。DigitStealer通过伪造的热门macOS应用程序版本进行传播。研究人员在一个名为DynamicLake.dmg的未签名磁盘映像文件中发现了该恶意软件,该文件伪装成合法工具。攻击者诱骗用户运行名为"Drag Into Terminal.msi"的文件,从而启动感染流程。发现时,VirusTotal上没有任何杀毒引擎能检测到该威胁,使其极具危险性。

针对性硬件检测

该恶意软件的突出特点是使用先进的硬件检查来避免在虚拟机或老旧Mac电脑上运行。Jamf安全研究人员发现,DigitStealer专门针对较新的Apple Silicon系统(特别是M2及以上芯片),同时避开基于Intel的Mac甚至M1设备。恶意软件在执行主要有效载荷前会进行全面的系统检查。

感染过程始于一个简单的bash命令,该命令从远程服务器下载编码脚本。解码后,该脚本执行多项验证步骤,确保仅在具有特定硬件特性的物理Mac电脑上运行。恶意软件还会检查系统区域设置,如果检测到特定国家/地区就会退出,可能是为了避免被起诉。

通过高级硬件检查实现检测规避

DigitStealer使用复杂技术检测虚拟机和分析环境。恶意软件通过系统命令查询硬件信息,并在输出中搜索"Virtual"或"VM"等关键词。一旦检测到这些环境,恶意软件会立即停止执行。最有趣的是它使用以下命令检查特定的Apple Silicon功能:

复制代码
sysctl -n hw.optional.arm.FEAT_BTI
sysctl -n hw.optional.arm.FEAT_SSBS
sysctl -n hw.optional.arm.FEAT_ECV

这些命令用于验证目标系统是否存在高级ARM处理器功能。只有M2或更新芯片具备这些能力,从而有效将感染范围限制在最新的Mac电脑上。这种方法帮助恶意软件避开安全研究人员的检测,因为研究人员通常使用虚拟机或老旧硬件进行分析。

多阶段攻击流程

通过所有验证检查后,DigitStealer会从远程服务器下载四个独立有效载荷。每个有效载荷都有特定用途,从窃取浏览器凭证和加密货币钱包,到修改Ledger Live等合法应用程序。该恶意软件使用合法的Cloudflare服务托管有效载荷,使得检测和拦截更加困难。

相关推荐
colman wang1 天前
Git指令(Mac)
git·macos
酷虎软件2 天前
分享链接+视频音频文案提取 API 接口文档
ide·macos·xcode
Hyyy2 天前
为什么 macOS 应用一换 Bundle ID,之前授予的权限就全失效了?
macos·electron
p似笑非笑2 天前
实战验证——把 SDK 塞进一个 macOS 原生 Agent 应用
macos
p似笑非笑2 天前
在Mac上完美配置VSCode的C/C++开发环境(GCC/G++详细教程)
c语言·vscode·macos
韦胖漫谈IT2 天前
Apple M3 Max 与 Apple M5 Max 对比:本地算力的新旧王者之争
网络·人工智能·macos·transformer
greasyfork3 天前
多种数据库管理混乱?Navicat Premium 17 for Mac 统一解决
数据库·mysql·macos·mac
碎_浪3 天前
Mac 壁纸被 MDM 锁住?我做了个 2MB 的开源方案
macos·开源·swift
逆向编程3 天前
AI编程CLI两种配置方案(macOS专用)
macos·ai编程
沐禾安信3 天前
开会来不及记录?Mac 录屏方法收好
macos·音视频·电脑录屏