隨著勒索軟件在2016年的爆發(fā),大量的惡意軟件選擇在郵件中使用含有宏的文檔進行偽裝攻擊。而進入2017年后,基于文檔型宏木馬的攻擊仍然處于高活躍狀態(tài),更值得關(guān)注的是,不法分子已經(jīng)開始將攻擊目標(biāo)指向了Mac系統(tǒng)。近期,騰訊電腦管家旗下哈勃分析系統(tǒng)發(fā)現(xiàn)了一個在Mac系統(tǒng)中傳播的Word文檔型宏木馬,運行后,將對電腦造成威脅。目前,該文檔型宏木馬可在Windows、Mac系統(tǒng)電腦上傳播,而在傳播過程中可被騰訊電腦管家攔殺。
據(jù)騰訊安全研究人員發(fā)現(xiàn),該木馬試圖借助美國總統(tǒng)就職的熱點新聞事件進行傳播擴散。當(dāng)用戶在Mac系統(tǒng)下打開木馬文檔時,系統(tǒng)會提示文檔包含宏,需要用戶確認(rèn)后才會啟用。一旦用戶點擊“啟用宏”按鈕后,文檔中的宏代碼便會自動運行,并通過Mac系統(tǒng)特有的系統(tǒng)文件以及內(nèi)置的Python腳本執(zhí)行能力,經(jīng)指定的網(wǎng)址下載惡意文件并運行,從而導(dǎo)致電腦上用戶隱私(文件、照片,賬號密碼)遭盜取,甚至電腦會被不法分子任意控制,隨意下載病毒或者木馬,進行加密文件敲詐等,更嚴(yán)重的是某些病毒木馬來源于國外或是最新變種,受害用戶繳納贖金都無法解除加密。
(系統(tǒng)提示是否啟用宏)
(騰訊電腦管家提示圖)
事實上,在Windows系統(tǒng)上,這類手法經(jīng)常被木馬作者所使用,如果用戶不慎點擊了“啟用宏”的選項,宏木馬會第一時間執(zhí)行各類惡意行為,如對用戶的文件進行加密或安裝遠控木馬。此前哈勃分析系統(tǒng)也曾多次對該類木馬發(fā)出警示,而此次文檔型宏木馬在Mac系統(tǒng)的手法尚屬少見。據(jù)騰訊安全研究人員預(yù)測,盡管該木馬在功能上仍不及出現(xiàn)在Windows系統(tǒng)的同類木馬,但借助Windows平臺上宏木馬的成熟技術(shù),再加上Mac系統(tǒng)中提供的一些便利執(zhí)行條件,在今后一段時間,這類新型的攻擊方式次數(shù)可能會出現(xiàn)大幅度的增長。
(哈勃分析系統(tǒng)檢測文件圖示)
哈勃分析系統(tǒng)提醒用戶,用戶在使用Mac電腦的時候,應(yīng)提高警惕。在打開文檔時,不要輕易選擇“啟用宏”選項,特別是對于郵件中的文檔附件要進行反復(fù)確認(rèn)。同時建議用戶時刻保持良好的安全習(xí)慣,才能在各種不同的設(shè)備上保障自身的安全。目前,哈勃分析系統(tǒng)(https://habo.qq.com/)已經(jīng)支持對此類木馬的檢測,遇到可疑的文件,可以上傳哈勃分析系統(tǒng)進行確認(rèn)。