哈勃分析系統(tǒng)：惡意宏木馬文檔現(xiàn)身攻擊Mac用戶

隨著勒索軟件在2016年的爆發(fā)，大量的惡意軟件選擇在郵件中使用含有宏的文檔進行偽裝攻擊。而進入2017年后，基于文檔型宏木馬的攻擊仍然處于高活躍狀態(tài)，更值得關(guān)注的是，不法分子已經(jīng)開始將攻擊目標(biāo)指向了Mac系統(tǒng)。近期，騰訊電腦管家旗下哈勃分析系統(tǒng)發(fā)現(xiàn)了一個在Mac系統(tǒng)中傳播的Word文檔型宏木馬，運行后，將對電腦造成威脅。目前，該文檔型宏木馬可在Windows、Mac系統(tǒng)電腦上傳播，而在傳播過程中可被騰訊電腦管家攔殺。

據(jù)騰訊安全研究人員發(fā)現(xiàn)，該木馬試圖借助美國總統(tǒng)就職的熱點新聞事件進行傳播擴散。當(dāng)用戶在Mac系統(tǒng)下打開木馬文檔時，系統(tǒng)會提示文檔包含宏，需要用戶確認(rèn)后才會啟用。一旦用戶點擊“啟用宏”按鈕后，文檔中的宏代碼便會自動運行，并通過Mac系統(tǒng)特有的系統(tǒng)文件以及內(nèi)置的Python腳本執(zhí)行能力，經(jīng)指定的網(wǎng)址下載惡意文件并運行，從而導(dǎo)致電腦上用戶隱私(文件、照片，賬號密碼)遭盜取，甚至電腦會被不法分子任意控制，隨意下載病毒或者木馬，進行加密文件敲詐等，更嚴(yán)重的是某些病毒木馬來源于國外或是最新變種，受害用戶繳納贖金都無法解除加密。

事實上，在Windows系統(tǒng)上，這類手法經(jīng)常被木馬作者所使用，如果用戶不慎點擊了“啟用宏”的選項，宏木馬會第一時間執(zhí)行各類惡意行為，如對用戶的文件進行加密或安裝遠控木馬。此前哈勃分析系統(tǒng)也曾多次對該類木馬發(fā)出警示，而此次文檔型宏木馬在Mac系統(tǒng)的手法尚屬少見。據(jù)騰訊安全研究人員預(yù)測，盡管該木馬在功能上仍不及出現(xiàn)在Windows系統(tǒng)的同類木馬，但借助Windows平臺上宏木馬的成熟技術(shù)，再加上Mac系統(tǒng)中提供的一些便利執(zhí)行條件，在今后一段時間，這類新型的攻擊方式次數(shù)可能會出現(xiàn)大幅度的增長。

哈勃分析系統(tǒng)提醒用戶，用戶在使用Mac電腦的時候，應(yīng)提高警惕。在打開文檔時，不要輕易選擇“啟用宏”選項，特別是對于郵件中的文檔附件要進行反復(fù)確認(rèn)。同時建議用戶時刻保持良好的安全習(xí)慣，才能在各種不同的設(shè)備上保障自身的安全。目前，哈勃分析系統(tǒng)(https://habo.qq.com/)已經(jīng)支持對此類木馬的檢測，遇到可疑的文件，可以上傳哈勃分析系統(tǒng)進行確認(rèn)。