网络安全研究人员发现了一种针对 macOS 系统的复杂新型恶意软件，名为  CoffeeLoader。它运用先进技术绕过端点安全防护解决方案，并植入 Rhadamanthys shellcode（ shell 代码）有效载荷。

这种恶意软件标志着针对 Apple 生态系统的威胁有了重大演变，显示出其躲避检测策略的复杂性日益增加。

初步分析表明，CoffeeLoader 利用合法的系统进程来保持其在系统中的持久性，并避开传统安全防护措施的检测。

该恶意软件主要通过受感染的软件下载，以及包含伪装成合法 PDF 文档或应用安装程序的恶意附件的网络钓鱼电子邮件进行传播。

一旦被执行，CoffeeLoader 就会通过修改系统文件和创建隐藏目录来存储其组件，从而在系统中立足，同时还会禁用 macOS 系统的某些原生安全功能。

Zscaler 公司的研究人员在观察到受感染系统与主要托管在东欧的命令与控制服务器之间的异常网络流量模式后，发现了这一威胁。

他们的分析显示，该恶意软件采用了一个多阶段的感染过程，旨在在执行的每个阶段都躲避检测，这给安全团队的修复工作带来了极大挑战。

CoffeeLoader 的攻击途径依赖于利用用户权限，最初它会伪装成一个需要安装权限的良性应用程序。

在获得这些权限后，它会部署一系列经过混淆处理的脚本，这些脚本能够在系统重启后依然保持其在系统中的存在，并且能避开标准的安全扫描。

其影响不仅限于数据盗窃，因为受感染的系统会成为更大的僵尸网络基础设施的一部分，能够利用系统资源发起分布式攻击或进行加密货币挖矿，这会显著降低系统性能，并有可能导致业务中断。

感染机制分析

该恶意软件的感染过程始于一个看似无害的可执行文件，它利用一种称为动态链接库劫持（dylib hijacking）的技术，将恶意代码加载到合法进程中。

这个过程涉及类似以下的代码：

void inject_payload(void) {

mach_vm_address_t addr;

mach_vm_allocate(task, &addr, payload_size, VM_FLAGS_ANYWHERE);

mach_vm_write(task, addr, (vm_offset_t)payload, payload_size);

thread_act_t thread;

thread_create_running(task, x86_THREAD_STATE64, (thread_state_t)&state, x86_THREAD_STATE64_COUNT, &thread);

}

分析人员建议各组织机构立即更新端点防护解决方案，实施应用程序白名单制度，并扫描可疑的启动代理或守护进程，以应对这一新兴威胁。