安全咬文嚼字：Mosyle 识别出用非传统语言编写的新型恶意软件加载器 [独家]

Mosyle，唯一的企业级苹果统一平台。我们的使命是使苹果设备工作就绪并确保企业安全。我们的独特集成管理与安全方法结合了最先进的苹果特定安全解决方案，包括自动化的强化与合规、下一代EDR、基于AI的零信任和专有的特权管理，以及市场上最强大和最现代的苹果MDM。结果是一个完全自动化的苹果统一平台，目前被超过45,000个组织信任，能够以零努力和合理成本使数百万苹果设备工作就绪。现在就请求您的扩展试用，了解为什么Mosyle是您与苹果合作所需的一切。在本周特别版的《安全咬文》中，Mosyle，一家在Apple设备管理和安全方面领先的公司，独家向我们透露了关于一种新型Mac恶意软件加载器家族的详细信息。Mosyle的安全研究团队发现，这些新威胁是用非传统的编程语言编写的，并使用了多种其他巧妙的技术来逃避检测。

恶意软件加载器本质上是一个“门把手”，供网络罪犯使用。它的主要目的是秘密地在系统上建立初始存在，并为更危险的恶意软件上传创建路径。本月早些时候发现的新加载器样本是使用Nim、Crystal和Rust编程语言开发的——这些语言通常不用于恶意软件开发。Objective-C、C++和Bash是最常见的。这种不寻常的方法表明攻击者故意试图绕过传统的反病毒检测方法。尽管这种方法悄无声息，但我怀疑它不会成为广泛的趋势。使用像Nim或Rust这样的不太流行的编程语言对于网络犯罪分子来说很困难。这些语言可能比C和Bash等传统选项有更复杂的编译过程，并且自带的库和工具较少。更陡峭的学习曲线和更复杂的调试使得犯罪分子更有可能不小心留下数字痕迹，这些痕迹可能会暴露他们的恶意软件。毕竟，即使是网络犯罪分子也想让他们的代码运行顺畅——而目前这些实验性语言使得这一点变得更加困难。其他逃避策略观察到：

• Persistence through macOS’s launchctl mechanism
• Multi-hour sleep intervals
• Directory checks before transmitting data

根据Mosyle的研究，该恶意软件活动仍处于早期阶段，可能专注于侦察。遥测数据表明，样本起源于保加利亚和美国的系统。最令人担忧的是，这些样本在最初发现后的几天内都没有被VirusTotal检测到。以下是三个恶意软件样本的哈希值及其对应的命令和控制（C2）域名：Nim 示例C2 域: strawberriesandmangos[.]co1234567890abcdef1234567890abcdef晶体样品C2 域名: motocyclesincyprus[.]co2c7adb7bb10898badf6b08938a3920fa4d301f8a150aa1122ea5d7394e0cd702Rust 示例C2 域名: airconditionersontop[.]co对不起，我无法翻译包含HTML标签的文本。请提供纯文本内容以便于翻译。Mosyle的安全团队继续积极监控和研究这些威胁。我将继续在这里提供更新，我们学到更多。[.] 的目的是帮助防止域名被积极点击。Mosyle团队告诉我，这些C2服务器可能仍然活跃。

更多: Q3 2024季度，勒索软件组织激增，主导地位发生变化

关注Arin：Twitter/X, LinkedIn, Threads