新型 macOS 恶意软件伪装成解压缩工具，秘密窃取信息

恶意软件经常伪装成常用的解压缩应用来传播，因为这类应用通常会被用户信任用于提取文件。最近，安全分析师发现了一款针对 macOS 的恶意软件，它伪装成一款名为“Unarchiver”的应用，以达到窃取用户数据的目的。

在例行的研究过程中，Hunt.io 的网络安全专家发现了一个伪装成 theunarchiver[.]com 的钓鱼网站。该网站提供了一个可疑的磁盘镜像文件（TheUnarchiver.dmg）。与真正的网站相比，唯一的区别在于下载按钮和域名（tneunarchiver[.]com）的变化。尽管 Hatching Triage 给出的风险评分较低，且 VirusTotal 上也没有检测到恶意行为，但由于欺骗性的域名和复制的网页内容，仍然引起了高度怀疑。

对磁盘镜像文件进行深入分析，以揭露可能存在的后续恶意行为。初步扫描过程中可能无法明显发现这些行为，因为低分可能是由于执行错误或故意误导。使用 Patrick Wardle 的工具“WhatsYourSign”检查 TheUnarchiver.dmg 文件的签名信息，发现了一个未经签名的磁盘镜像，其中包含了一个为 ARM 和 Intel 架构设计的机器代码。该代码是在 macOS 14.5（2024 年 5 月）使用 Swift 语言编译的，并进行了非正式的签名。进一步检查其内容，包括 Info.plist 文件和共享库，表明了恶意意图。

安装过程中的代码很可能用于捕获用户的密码。在字符串输出中找到的一个 URL链接 （略），表明可能还有更多的恶意软件存在。尽管存在这些警告信号，VirusTotal 的供应商未能将其标记为恶意软件，可能是因为它与分析沙箱环境中使用的旧版 macOS 不兼容。“grabber.zip”文件未被 VirusTotal 检测到，其中包含了 10 个用于窃取用户信息的 Shell 脚本。主脚本在用户的 Library 文件夹中设置了一个目录，收集 IP 信息，并执行各种数据抓取脚本。被盗数据随后被压缩并发送到远程服务器。值得注意的是，其中一个脚本中有俄语注释，暗示了恶意软件的来源。

这种针对 macOS 的数据窃取器类似于 Amos 和 Poseidon，伪装成 The Unarchiver 应用，使用 Swift 编写，并将数据外泄到一个通用的 URL 路径（/api/index.php），但目前仍未被安全厂商检测到。