恶意分子操纵Google搜索结果传播Mac恶意软件

Mac 恶意软件涌现

最近，恶意分子正在传播诸如 Shlayer 和 Bundlore 之类的 Mac 恶意软件。

大多数用户在上网时都能够意识到需要警惕恶意站点。但是，如果是信誉良好的搜索引擎(如 Google 和Bing)中的结果，会有很多人认为这是安全的。

事实证明，所有的搜索引擎都会存在恶意的搜索结果，比如：攻击者操纵 Google 搜索结果以诱导用户点击恶意网站并下载恶意软件。

新型恶意软件

网络安全公司 Intego 最近发现了一种新的恶意软件，该恶意软件不仅规避了苹果自身的安全设置而且在 VirusTotal上完全无检出。该恶意软件由Shlayer 和 Bundlore 的变体组成。

2019 年 1 月 VeryMal 使用 Shlayer感染了 Mac 设备，使用隐写术来逃避检测，并且将恶意代码嵌入广告中。

同一时期，还发现了该恶意软件通过 Adobe Flash 更新在 Mac 设备上安装 AnySearch栏以显示非法广告。除广告软件外，该恶意软件还拦截并收集浏览器数据，修改搜索结果以大量投放广告。

另一方面，Bundlore 是广告软件，自从 2015 年开始就非常活跃。不仅使用多种技术绕过Mac的安全机制，还从设备上收集个人数据并重定向用户到恶意站点。

利用搜索引擎

此时此刻，黑客也在使用 Google 搜索来传播恶意软件，该软件冒充 Adobe Flash Player 的更新。

例如，用户搜索 YouTube 视频的标题，然后在搜索结果中点击进入另一个页面，页面会通知其要更新FlashPlayer。旁边还会提示这很重要的警告，敦促用户抓紧更新。

下载安装文件后，用户将会按说明进行安装：

安装程序启动后，会在终端运行 shell 脚本，从自嵌入、加密的 ZIP 包中提取 Mac 恶意软件包。

研究人员在文章中进一步解释了后续的步骤：Mac 应用程序启动后，将下载一个合法的，由 Adobe 签名的 FlashPlayer安装程序，使这看起来是真的。但隐藏的 Mac 应用程序还可以下载任何其他 Mac 恶意软件或广告软件。

尽管 Google 尽力保证排除此类搜索结果，但是仍然难以完全清除。用户必须保持警惕，仅在信誉良好的网站上下载文件。

滥用搜索引擎很常见

犯罪分子经常会滥用搜索引擎来传播恶意软件。此前久有攻击者利用 Google Adwords 和 Google Sites伪造 GoogleChrome浏览器来传播恶意软件。

此外，2017 年也发现了攻击者利用 Google 搜索结果，通过 SEO 恶意广告和 SERP 中毒来分发 Zeus Panda 银行木马。

参考来源：HackRead

鸿蒙官方战略合作共建——HarmonyOS技术社区