上周,卡巴斯基报道Mac恶意软件质子的新变种他们将其命名为Calisto,它已经存在至少两年了。卡利斯托现在已经完全死亡,但这些旧感染仍有潜在的安全隐患。

质子第一次被发现2017年2月通过苹果的安全更新向全世界发布。这是后来在野外看到的流行的DVD撷取工具手刹被黑了,用来分发质子在五月。10月,在Eltima软件网站被黑客入侵后,这种情况再次出现Elmedia播放器和Folx被修改为放弃质子.还有一件事被记录下来Proton是由一个假的赛门铁克应用程序安装的这是一个由搜索引擎优化技巧推广的假赛门铁克博客发布的。

质子可能是近期Mac历史上最引人注目的恶意软件。但这个故事似乎比我们之前认为的要早得多。卡巴斯基发现的卡利斯托,原来是质子的一个更早的变种,提供了这一证据。

帕尔马的行为

Calisto以假冒的Intego Mac Internet Security X9安装程序的形式发布,于2016年8月2日首次提交给恶意软件跟踪网站VirusTotal。Intego的X9软件于2016年6月20日首次发布,这一恶意软件的首次出现有一个明确的时间范围。然而,有迹象表明,这种恶意软件甚至可能有更早的变种。

幸运的是,这个恶意软件在这一点上是真正有效的死亡,因为它试图调用home的服务器不再存在。

2015年9月30日,在Mac OS X 10.11 (El Capitan)上增加了系统完整性保护(SIP),导致了该恶意软件的问题。然而,Calisto依赖于能够对几个sip保护的位置进行更改,而它的一些功能在El Capitan或更高版本的系统上失败了。这个事实很有趣,因为它暗示恶意软件可能是在此发布之前创建的。

尽管恶意软件无法在现代系统上执行某些功能,但它仍然会收集与密码相关的文件,就像质子(Proton)的后继版本一样,这些文件将被泄漏到恶意服务器(恶意服务器不再响应)。正是这些文件,提供了最感兴趣的恶意软件,和质子的其他变种,今天。

密码泄漏

本月初,与发现OSX。假在美国,我们讨论了恶意软件会留下敏感数据供未来的攻击者发现的问题。质子做同样的事情,和卡利斯托变种没有不同。

和Dummy一样,Proton会留下一个包含用户密码的明文文件。在质子的不同变体的情况下,这些文件位于以下位置:

~ / .calisto / cred.dat ~ /图书馆/ VideoFrameworks /。crd /图书馆/ .cachedir / .crd

重要的是要确保这些文件不存在于您的系统或您控制的任何系统上。

为什么?假设你是一个坏人,你有访问一个你想要攻击的系统的权限,通过恶意软件或者直接访问。但是,你不知道用户的密码。如果你知道,你的攻击可能会升级。一种方法是询问用户,但这可能会引起怀疑。

如果你能在那里找到密码,然后拿起它开始使用呢?在以前被质子或Dummy之类的病毒感染过的系统上,这正是你可以做的。黑客只需简单地寻找这些文件,就能找到用户名和密码,上面都有一个漂亮的蝴蝶结,随时可以使用。

修复

确保这些密码文件在你的Mac上不存在是很重要的。你可以用下面的命令在终端中检查它们(对每个路径进行更改):

ls过程~ / .calisto / cred.dat

如果命令报怨“没有这样的文件或目录”,则说明没有问题。如果没有,您将需要删除该文件。这有点棘手,因为这些文件要么是不可见的,要么是在不可见的文件夹中。所以,如果你不知道怎么做,就向专家寻求帮助。

作为另一种解决方案,必威平台APP伪的Mac会帮你把这些东西都拿走。