Mac恶意软件法外“逍遥”多年终被捕

ZDNET安全频道 10月10日 国际新闻：卡巴斯基实验室在最近公布的一份Icefog APT（即高级持续性威胁）报告中指出，恶意软件作者创建出的这款Mac程序能够与其僵尸网络相连接。它已经组织过数次有限的实验性攻击，主要针对韩国及日本等远东地区国家。

该软件的Windows版本可以追溯到2011年甚至更早。但Mac版本的发展路线则完全不同：它藏身于合法图形软件Img2icns当中——该软件用于将图片转换为图标格式（反之亦然）。当用户安装了这款软件并载入之后，Icefog木马也将被载入到系统当中。

包含恶意软件的Img2icns于2012年末出现在众多中国的BBS论坛当中，卡巴斯基认为该程序目前尚处于实验阶段、内容也尚不完整。

包含Mac Icefog木马的BBS帖子，该木马被绑定在图形处理程序Img2icns当中。

该程序的后门机制与Windows版本非常相似：它会收集与主机系统相关的信息并将结果返回至命令与控制服务器，而后将命令付诸执行。

该程序采用64位库，而且只与OS X 10.7及10.8版本相兼容。由于它不具备代码标识，因此OS X 10.8系统中的Gatekeeper功能将无法成功实现阻止，从而导致安全漏洞的出现。

Mac平台反恶意软件厂商Intego公司指出，这项威胁与OS X/Leverage非常相似。二者都会“……在后门启动时阻止Dock图标的激活，也无法通过Command+Tab键进行应用切换显示其存在，因此用户恐怕很难意识到自己已经成为攻击目标。”

卡巴斯基表示，目前已经有数百位用户受到Mac Icefog的感染，不过他们还无法确定任何受到感染的具体系统。他们推测，目前出现的版本只是测试版，主要目的在于为后续攻击活动做好铺垫。

反恶意软件厂商在追踪Icefog方面表现得相当迟钝。根据Virustotal最近发布的分析结果（截止时间为UTC 2013-9-29 16：21：39）显示，测试的44种对象中有10种受到感染。这样的结果多少令人感到安心，毕竟该威胁似乎还并未广泛肆虐。

随着检测工作的深入，我们可能会逐步发现更多由此衍生出的新兴攻击活动。