2025-04-24 08:46 上海

安小圈

第652期

风险预警 · 恶意软件

警惕！黑客出租可完全控制 macOS 系统的恶意软件

网络安全领域出现了一种针对苹果用户的新型威胁。地下论坛上正在宣传一款名为"iNARi Loader"的macOS恶意软件即服务（MaaS）产品。

高级窃密软件威胁升级

这款高价窃密软件代表了macOS专用恶意软件的惊人进化，它结合了远程桌面功能和高级数据窃取技术。据网络安全新闻观察到的暗网帖子显示，iNARi Loader背后的威胁行为者提供的这款私有macOS窃密软件具有超越以往类似恶意软件的广泛功能集。

据报道，该恶意软件包含模块化功能，允许攻击者部署从VNC（虚拟网络计算）远程访问到复杂数据窃取程序的各种有效载荷。iNARi Loader最令人担忧的一个方面是其能够绕过密码提示，可能让攻击者无限制地访问敏感用户数据。这种技术与之前macOS信息窃取程序（如Atomic Stealer）使用的方法类似，后者通过伪造系统提示来获取用户凭证。

研究人员指出，这标志着针对macOS的威胁显著升级。此外，远程桌面功能的加入使攻击者能够前所未有地控制被入侵系统。

恶意软件租赁服务

根据网络安全新闻观察到的暗网广告，该恶意软件可通过多种途径传播，包括终端命令、磁盘映像文件(.dmg)、安装包(.pkg)或恶意应用程序。这种多管齐下的方法最大限度地提高了攻击者成功入侵目标系统的机会。

与许多需要额外混淆处理的竞品不同，iNARi据称不需要加密服务来逃避检测，这表明它具有类似其他近期macOS恶意软件家族的复杂内置规避能力。

威胁行为者建立了反映该恶意软件高级功能的分级定价模式：

标准版：每月5000美元

高级版：每月10000美元（包含远程桌面协议访问、技术支持和新模块优先使用权）

这些价格显著高于之前的macOS窃密软件如Atomic（2000-3000美元/月）和Banshee（3000美元/月），表明该软件要么具有卓越功能，要么针对资金充足的威胁行为者进行定向营销。

macOS威胁趋势持续恶化

iNARi Loader的出现延续了macOS系统遭受攻击增加的令人担忧的趋势。在整个2023年和2024年初，研究人员记录了多个新的信息窃取软件家族，包括MacStealer、Pureland、Atomic、RealStealer、MetaStealer和Banshee。

这些恶意软件家族通常针对敏感信息，包括钥匙串密码、浏览器数据、加密货币钱包和个人文件。远程桌面功能的加入代表了一次重大升级，使攻击者不仅能够窃取数据，还能持久控制被入侵系统。

用户应警惕可疑的下载提示，验证软件真实性，在敏感账户上启用双因素认证，并确保系统运行最新的安全更新。

【内容来源：FreeBuf 】

新型恶意软件"超级卡X"通过NFC中继攻击瞄准安卓设备

Cleafy安全研究人员发现名为"超级卡X"（SuperCard X）的新型恶意软件即服务（MaaS），该恶意软件通过NFC（近场通信）中继攻击针对安卓设备实施资金窃取。

攻击手法与传播渠道

攻击者通过Telegram频道推广该MaaS服务。分析显示，"超级卡X"的构建版本已移除Telegram链接，可能是为了隐藏关联关系并阻碍追踪，这表明攻击者正试图规避检测。针对意大利的"超级卡X"活动分析显示，该恶意软件存在针对特定地区定制的版本。

NFC中继技术滥用

该攻击活动采用NFC中继技术，通过转发拦截的银行卡数据来劫持POS机和ATM交易。恶意软件通过社会工程学手段传播，攻击者诱骗受害者在受感染手机上刷卡。研究人员将该活动与中文MaaS平台"超级卡X"相关联，并发现该恶意软件与NGate恶意软件存在代码相似性。

电话导向攻击流程

欺诈活动始于通过短信或WhatsApp发送虚假银行警报，诱使受害者联系攻击者。通话过程构成电话导向攻击交付（TOAD）场景，攻击者通过社会工程手段：

1. 套取银行卡PIN码

2. 引导受害者解除卡片限额

3. 诱骗安装隐藏"超级卡X"的恶意应用

安装后，当受害者在设备上刷卡时，恶意软件会捕获NFC卡数据并中继到攻击者设备，从而实施欺诈性POS机或ATM交易。

Cleafy报告指出："攻击者利用受害者对欺诈交易的焦虑心理，诱骗其'重置'或'验证'银行卡。由于受害者常无法立即记起PIN码，攻击者会指导其通过手机银行应用获取该敏感信息。在取得信任并可能获得银行应用访问权限（通过语音指导）后，攻击者会指示受害者在银行应用中修改卡片设置，解除借记卡/信用卡的消费限额——这一关键步骤可最大化欺诈取款金额。随后，攻击者说服受害者安装看似无害的应用程序（通过短信或WhatsApp发送的链接，通常伪装成安全工具或验证程序），该应用实际隐藏了具有NFC中继功能的'超级卡X'恶意软件。"

模块化结构设计

"超级卡X"采用双应用模块化架构：

1. 读取器（蓝色图标）：部署在受害者设备上捕获NFC卡数据

2. 刷卡器（绿色图标）：运行在攻击者设备上转发并滥用被盗数据

技术实现细节

两个模块通过HTTP协议共享C2服务器进行连接。攻击者通过登录凭证进行身份验证，将受害者的"读取器"与攻击者的"刷卡器"绑定，实现NFC数据实时中继。恶意软件还利用存储的ATR（Answer To Reset）消息实现卡片模拟，使POS终端和ATM机误认为中继的卡片是真实的。

反检测特性

该恶意软件在杀毒软件中检出率极低，这归因于：

1. 最小化权限模型（仅请求android.permission.NFC等必要权限）

2. 专注NFC中继的单一功能设计

3. 移除Telegram链接和"注册"按钮（攻击者预先为受害者创建账户）

4. 使用看似无害的图标和名称

威胁特征分析

报告总结指出："该威胁的突出特点不在于恶意软件本身的复杂性，而在于其依赖NFC技术的创新欺诈机制。这种攻击方式使攻击者能够即时获取被盗资金，且可能绕过通常涉及银行转账的传统欺诈渠道。另一个值得注意的特点是该恶意软件极低的特征指纹。"

【内容来源：FreeBuf 】

关于防范Outlaw恶意软件的风险提示

近日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）监测发现Outlaw恶意软件持续活跃，其主要攻击目标为Linux系统，可能导致敏感信息泄露、业务中断、系统受控等风险。

Outlaw是一种针对Linux系统的恶意软件程序，最早发现于2018年。该恶意软件利用目标系统的弱口令或默认凭据缺陷，通过SSH爆破的方式获得访问权限，然后下载并执行带有shell脚本、挖矿木马、后门木马的压缩包文件dota3.tar.gz，在感染一台主机后，Outlaw会通过本地子网扫描和SSH爆破扩大感染范围，形成僵尸网络，可进行加密货币挖矿、DDoS攻击等恶意行为，并通过创建多个cron作业以确保在系统重启或被终止后继续启动运行。此外，Outlaw会删除并重新创建用户的SSH目录，注入由攻击者控制的SSH密钥，并使用chattr+ia命令设置文件的不可变属性，阻止管理员删除或修改密钥以实现对目标系统的持续控制。

建议相关单位和用户立即组织排查，针对受感染的系统及时采取措施，开展服务器安全加固，避免采用弱密码或默认凭据，保持防病毒软件更新，定期开展全盘病毒查杀，并可通过及时修复安全漏洞、定期备份数据等措施，防范网络攻击风险。

作者：CSTIS 内容来源：网络安全威胁和漏洞信息共享平台

END