前言
關於MacOS操作系統不存在威脅(或至少沒有嚴重威脅)的觀點已經流傳了幾十年。MacBooks和iMacs的使用者在對自身安全性的信心程度上與Linux用戶是差不多的,而且我們必須承認,他們在一定程度上是正確的:與基於windows的系統相比,針對MacOS的威脅要少得多。然而,造成這種情況的主要原因是潛在受害者的數量:運行Windows的電腦比運行MacOS的電腦多得多。不過,情況正在發生變化,因爲後一種平臺的受歡迎程度正在增加。正因爲如此,儘管蘋果公司做出了種種努力,但蘋果設備的威脅風險正在發生加大,惡意軟件數量不斷增長。
數據和趨勢
網絡釣魚
在2019年上半年,我們發現了近600萬次針對MacOS用戶的釣魚攻擊。其中,11.80%的目標用戶是企業用戶。
惡意的和潛在的不需要的軟件
從2012年到2017年,經歷過惡意和潛在惡意程序攻擊的MacOS用戶數量不斷增長,每年接近25.5萬名受到攻擊的用戶。然而,從2018年開始,被攻擊用戶的數量開始下降,到2019年上半年,這一數字僅爲8.7萬。
自2012年以來,通過惡意程序對MacOS用戶發起的攻擊每年都在增加,2018年超過了400萬次。在2019年上半年,我們已知的此類攻擊有180萬起。
2019年MacOS面臨的絕大多數威脅都屬於廣告軟件範疇。至於惡意軟件威脅,僞裝成Adobe Flash Player或更新的Shlayer家族是最流行的。
針對Mac用戶的網絡釣魚
我們從2015年開始收集針對MacOS用戶的釣魚威脅的詳細統計數據。過去四年收集的數據表明,針對MacOS用戶的網絡釣魚攻擊數量肯定在增長,而且增長得相當快。2015年,中國共發生852293起網絡攻擊事件,2016年增長86%,超過150萬起,2017年猛增至400萬起。2018年,襲擊事件繼續增加,超過730萬起。從這一點上看,僅2019年上半年,就發生了5932195起襲擊事件,這意味着如果目前的趨勢繼續下去,到今年年底,襲擊數量可能會超過1600萬起。
在2019年上半年面臨網絡釣魚攻擊的企業MacOS用戶比例高達11.80%。與2018年同期的10.25%相比,這一比例略有上升。
釣魚網頁的主題很重要
爲了瞭解網絡釣魚頁面模擬了哪些服務,我們分析了最常見的網絡釣魚技巧和受攻擊用戶的地理位置。然後我們將結果與2018年同期的數據進行了比較。
無論是2019年還是2018年,MacOS用戶訪問的網絡釣魚頁面中,假裝銀行服務的居多(2019年爲39.95%,2018年爲29.68%),其次是全球互聯網門戶網站(2019年爲21.31%,2018年爲27.04%)。社交網絡在2019年排名第三(12.3%),佔據了在線商店的份額(2018年10.75%)。
2018H1&2019H1按用戶份額劃分的網絡釣魚頁面
冒充蘋果的垃圾郵件和網絡釣魚攻擊
在MacOS用戶面臨的網絡釣魚攻擊中,我們會單獨關注模仿蘋果官方頁面或簡單提到蘋果品牌的虛假網頁。不久前的2016年,試圖利用該品牌的攻擊相對較少(75.5萬次)。但在2017年,這一數字增長了近40%,超過100萬,一年後幾乎達到150萬。我們完全有理由相信,2019年這個數字至少會出現兩倍的增長。
讓我們仔細看看模仿蘋果官方網站的網絡釣魚頁面的一些例子。自然,這些釣魚攻擊最常見的目的是竊取用戶的Apple ID。
這些網站的鏈接通常通過電子郵件發送,據稱來自蘋果的支持。收件人受到威脅稱除非他們點擊鏈接並登錄以確認已在其個人資料中指定的信息,否則他們的帳戶將被鎖定。
另一個釣魚技巧是感謝你在app Store上購買蘋果設備或應用程序。“客戶端”會邀請你通過點擊指向釣魚頁面的鏈接來了解產品的更多信息(或取消購買)。在這裏,受害者需要輸入他們的蘋果ID登錄名和密碼,當然,這些信息將發送給攻擊者。
假的惡意攻擊
釣魚網頁的另一種變體是惡意軟件感染檢測通知頁面。這些通知的設計各不相同。其中一些是質量很高,他們忠實地複製蘋果官方網站的設計。惡意軟件感染後將說服用戶撥打一個虛假的支持號碼,或者安裝一個虛假的反病毒應用程序,將一個不存在的威脅變成真實的威脅。
MacOS的惡意和不必要程序
在撰寫本文時,我們的數據庫包含了206,759個MacOS特有的惡意和潛在不需要的文件。下圖顯示了我們數據庫的增長情況。
從圖中可以看出,截至2011年,每年檢測到的針對MacOS的惡意文件數量微不足道。但後來情況發生了變化:從2012年開始,我們收集的文件數量開始逐年翻番。然而,在2019年上半年,只有38677個惡意和潛在的不需要的物體被檢測到,這意味着我們預計今年不會看到與2018年類似的增長。
爲了確定近年來MacOS用戶被惡意軟件攻擊的數量變化,我們檢查了2012年到現在的統計數據。就像上面的圖表一樣,你可以看到2012年到2017年間被攻擊的用戶數量急劇增加。
2012-2019.6受惡意軟件攻擊的MacOS用戶數量
2019年的威脅
以下是我們在2019年上半年觀察到的MacOS面臨的十大威脅:
除了排名第一的Shlayer木馬之外,排名前十的其餘部分都是由屬於AdWare類的各種不必要軟件填充的。這些程序的目標是儘可能地顯示廣告:在系統通知、web頁面橫幅、搜索結果頁面、瀏覽器中等等。這不會對用戶造成直接傷害,但絕對不會給他們帶來積極影響。
MacOS和有針對性的攻擊
我們關於MacOS威脅的統計數據提供了相當有說服力的證據,說明這個操作系統的完全安全性不過如此。然而,反對MacOS(以及iOS)不會受到攻擊的最大論據是,已經有針對這些操作系統的個人用戶和此類用戶組的攻擊。在過去的幾年裏,我們已經看到了至少8次這樣的活動,其組織者假定MacBook、iPhone和其他設備的用戶不會遇到專門爲蘋果平臺設計的惡意軟件。
結論
MacOS惡意軟件已經從2004年的孤立實例發展到2019年的數十萬種。然而,爆炸式增長的時代似乎已經過去,我們不得不注意到這個平臺上網絡犯罪活動的減少。然而,與Windows用戶相比,MacBook和iMacs的用戶從未被認爲是優先攻擊目標,因爲Windows用戶的數量要多得多,因此攻擊後者總是更有利可圖。此外,Windows存在大量已知和不太知名的漏洞,再加上Windows用戶往往不定期安裝更新,使得網絡罪犯更容易、更方便地感染Windows系統。
我們在準備這份報告時發現的另一個重要方面是,MacBook和iMac用戶收到的廣告越來越煩人,而不是全面的惡意軟件,但在大多數情況下,廣告相對無害。相比之下,爲MacOS創建完整的惡意軟件要複雜得多,成本也高得多。造成這種情況的原因既在於潛在的受害者減少了,也在於蘋果正在努力保護其客戶。
網絡釣魚和社會工程攻擊實例的數量現在也在上升。攻擊者繼續主要針對Apple ID, 因爲Apple ID是用戶訪問蘋果基礎設施的關鍵。且Apple ID相對容易變現,比如他們可以賣給其他罪犯。從攻擊概率和成功攻擊造成的損失之間的平衡來看,盜竊這類數據可能是MacOS用戶目前面臨的最危險的威脅。此外,我們的統計數據顯示,這種類型的攻擊數量也很有可能上升。
一種極其危險(但也是極其罕見)的威脅是針對MacOS和iOS用戶(主要是業務用戶)的目標攻擊。一些知名的網絡犯罪組織目前正在爲這些操作系統開發惡意軟件,但隨機用戶成爲此類程序目標的可能性極小。然而,如果你在一家金融機構工作,比如一家銀行,而你的MacBook或iPhone是公司設備,那麼你成爲目標的機率就會大大增加。在這種情況下,威脅已經足夠嚴重,所以我們建議尋找一個可靠的安全解決方案。尤其是,我們預計在2019年至2020年間,針對MacOS和iOS設備的針對性攻擊數量將會增加。
保證MacOS上設備安全的建議:
儘量讓MacOS和所有應用程序保持最新。
只使用正版軟件,從官方網頁下載或從Mac應用商店安裝。
開始使用可靠的安全解決方案。
只從官方資源(如Appstore)下載和安裝應用程序。
如果您需要訪問您的iCloud,只使用官方網站。
對MacOS企業用戶的建議是:
對員工進行安全意識培訓,解釋如何識別和避免潛在的惡意應用程序或文件。例如,員工不應該從不可信或未知的來源下載和啓動任何應用程序或程序。
使用專用的安全產品,包括對MacOS和iOS的保護。
爲您的SOC團隊提供訪問最新威脅情報的機會,其中包括MacOS的威脅,以便及時瞭解威脅參與者使用的新工具、技術和策略。
*參考數據來源:Kaspersky Lab、國家互聯網應急中心CNCERT,青松編譯,轉載請註明來自Qssec.COM。