黑客通过在美国,意大利和日本的恶意广告活动部署了Tarmac恶意软件。
安全研究人员发现了一种新的Mac恶意软件。然而,它的某些目的和全部功能仍将是一个谜。
这种新的恶意软件名为Tarmac(OSX / Tarmac),通过在线恶意广告(恶意广告)活动分发给macOS用户。
这些恶意广告在Mac用户的浏览器中运行恶意代码,将可能的受害者重定向到显示兜售软件更新的弹出窗口的站点-通常是Adobe的Flash Player。
始于此技巧并下载Flash Player更新的受害者最终将在其系统上安装恶意软件二人组-首先是OSX / Shlayer恶意软件,然后是第一个启动的OSX / Tarmac。
自2019年1月起分发
Confiant的安全研究人员Taha Karim表示,这次分发Shlayer + Tarmac组合的恶意活动始于今年1月。
Confiant 当时发布了一份有关2019年1月恶意广告活动的报告 ; 但是,他们只发现了Shlayer恶意软件,而没有发现Tarmac。
但是在两周前发布的一份后续报告中,Confiant深入研究了-仍在进行中-恶意广告活动及其有效载荷。
Karim就是这样找到Tarmac的,这是最初的Shlayer感染的第二阶段有效载荷。但是,研究人员确定的Tarmac版本相对较旧,并且该恶意软件的原始命令和控制服务器已关闭-或很可能已移至新位置。由于Karim无法完全了解Tarmac的运作方式,因此此分析受到阻碍。
目前,只知道Shlayer在受感染的主机上下载并安装了Tarmac之后,Tarmac会收集有关受害者硬件设置的详细信息,并将此信息发送到其命令和控制服务器。
此时,Tarmac将等待新命令。但是由于这些服务器不可用,因此Karim无法确定Tarmac背后的全部范围。
从理论上讲,大多数第二阶段恶意软件通常都是非常强大的恶意软件,具有许多侵入性功能。至少在理论上,Tarmac应该是一个非常危险的恶意软件。
然而,目前,这个谜仍然存在。
TARMAC已分发给美国,意大利和日本用户
但是,尽管尚未发现Tarmac的全部功能,但我们确实了解有关谁可能被感染的一些详细信息。
Karim在今天的一次采访中告诉ZDNet,分发Shlayer和Tarmac组合的恶意广告活动针对的是位于美国,意大利和日本的用户。
尽管美国和日本是恶意广告和恶意软件活动的常规目标,但意大利却是一个奇怪的选择。
卡里姆对ZDNet表示:“我们认为行动者是不断尝试的,他们可能在意大利找到了一个甜蜜点,介于他们可以获得的利润和安全界的关注程度之间。”
由于Tarmac负载是由合法的Apple开发人员证书签名的,因此Gatekeeper和XProtect之类的功能不会停止其安装或显示任何错误。
想要查看自己的Mac系统是否受到此恶意软件感染的用户和公司可以在Karim的Tarmac报告中找到危害指标(IoC)。
