過去人稱難攻不落,有永不中毒稱號的 macOS 系統,其實近期一直有惡意軟體搶灘成功的消息,但這次發現的 Fruitfly 果蠅可就低調許多,在 macOS 系統內至少生存了十年才被人們發現。這支惡意程式最大的危害,就是會自己啟動 Webcam ,並透過鍵盤記錄偷走密碼等資訊,從潛伏的時間推算,損害已無法估計:
根據 Synack 的資安研究人員 Patrick Wardle 的說法,Fruitfly 並不會做破壞系統的行為,主要的作用就是將 Webcam ,也就是在 Apple 電腦上以 iSight 稱呼的攝影鏡頭打開,另外還會開啟鍵盤記錄,至於用來記錄什麼相信不用多說,基本上只要透過鍵盤輸入的資料,像是帳號密碼,信用卡號之類的資料很可能已被竊取:
最近惡意軟體「Perverse」主要在美國的 Mac 電腦中發現,屬於今年 1 月初就發現的 Fruitfly 惡意程式的變種,兩年前 Apple 就透過系統更新,封殺了這支惡意程式可能的入侵方式。不管是 Perverse 還是 Fruitfly ,這兩個惡意程式都會進行捕捉系統資訊、鍵盤記錄、並且啟動 Webcam 拍攝畫面。
差別在於 Fruitfly 使用比較老舊的程式碼撰寫,並且主要針對生技研究機構進行攻擊。系出同源,青出於藍的 Perverse 已經感染了相當長時間,並針對特定領域入侵了數量可觀的 Mac 電腦。不過 在 Patrick Wardle 手上的 Fruity 變體卻已經感染了更多電腦,且目前多數 Mac 電腦仍為偵測出這支惡意程式,也有不少商業防毒軟體並未偵測出這支惡意程式。
根據 ArsTechnica 的報導,Patrick Wardle 在解析該惡意程式後,找出幾個網域名稱,且令其驚訝的是,那些域名仍然可用。試著註冊其中一個域名,兩天內有近 400 台 Mac 連上這個域名,這些電腦主要都來自美國。即便 Patrick Wardle 只是觀察這些 IP 跟電腦使用者名稱,但只要有這個意思,監控這些電腦也並不是什麼難事:
▲發現 Fruitfly 的 Patrick Wardle 表示一開始並沒有注意到是惡意程式,可以猜想到這支程式相當善於閃避安全軟體掃描跟 Apple 對作業系統的安全更新。(圖片來源:Twitter)
Patrick Wardle 認為,這樣的攻擊方式顯示惡意程式製作者有些腦袋不正常,想要每天都攻擊這些 Mac 電腦達到某種目的。
有趣的是,至少這個惡意程式到現在還沒有勒索這些被攻擊電腦的使用者,且沒有證據顯示惡意程式的擁有者企圖蒐集這些使用者的銀行資料,像是帳戶、卡號之類的資訊。整個軟體的運作過程感覺像是有個無聊人士想證明自己攻陷了 macOS,或者因為某些目的想要窺探別人的隱私,像是偷偷打開某個用戶的 Webcam 。
目前 Patrick Wardle 已經將發現惡意程式的事情向執法機關報備,並且通知 Apple ,他們的系統內有個程式碼超舊,但危害程度不可小覷的惡意程式。並希望這個事件能提醒廣大的 Mac 使用者們,他們的電腦並不安全,而且隨時可能有人竊取他們的隱私。