据科技媒体 Apple insider 昨天报道,互联网上最近出现了一种针对苹果 Mac 用户的最新骗术,利用普通人“信任搜索引擎第一条结果”的心理,在垃圾广告网站暗藏假冒 Homebrew 安装程序代码。
IT之家注:Homebrew 是一款开源软件包管理系统,用于简化苹果 macOS 系统的软件安装过程,类似 Linux 系统的 APT、YUM 等。
据报道,这种骗术的根源是骗子在谷歌购买搜索引擎推广服务,只要给钱就可以将伪造的 Homebrew 官网置顶展示在真官网之上,然后诱导用户执行一条恶意的终端命令。
这种骗术之所以有效,是因为安装 Homebrew 本来就需要在终端粘贴、回车一条指令,因此从逻辑链条上看并没有什么异常。用户也不会在这时候起疑心,反而会放松警惕。攻击者正是利用这种信任感,在几乎一致的执行流程里暗藏恶意代码。
从仿冒网站我们可以看到,这段恶意指令采用 Base64 编码,不太懂计算机的人看不出有什么异样。但只要你把它粘贴到终端里执行,代码就会被解码并安装恶意软件。
研究人员将这种恶意荷载与专门窃取浏览器数据、账号凭证以及加密货币钱包的恶意软件 Atomic macOS Stealer 关联,认为网络攻击正在由“利用漏洞”转向“诱导用户主动执行恶意代码”演进。
▲ 真正的 Homebrew 官网
并且这种攻击方式完全是利用了人本能的“信任”,一个看似官方的网站再加上熟悉的安装流程,本身就足以降低人的警觉。而攻击者还能频繁更换马甲域名,使监管变得困难。
因此,避免这种骗术发生的最好手段就是不用搜索引擎去找 Homebrew,直接在地址框输入官网链接(brew.sh)或使用书签。并且在安装软件前一定要核查网站是否为真正官网,看到一串无法辨认的 Base64 指令时也要仔细检查。
