苹果安全专家认为最新macOS恶意软件威胁被过度夸大

网络安全公司Check Point的研究人员上周披露，一种新的macOS恶意软件通过模仿苹果安全工具的加密方案，在超过两个月的时间里成功躲避了防病毒检测。

这一消息迅速被主流媒体报道。福布斯警告称存在“真实和当前的危险”，而《纽约邮报》则引用Check Point的说法，指出超过1亿苹果用户可能会“被掠夺”。

然而，一位苹果安全研究员认为，这种情况可能更多的是炒作而非实际威胁。端点安全初创公司DoubleYou的首席执行官Patrick Wardle在接受采访时告诉记者：“这个特定的样本真的没什么特别的。”Wardle在Signal的采访中表示。

尽管该恶意软件似乎针对“基于软件的加密钱包”，且确实令人担忧，但Wardle认为它受到了媒体不成比例的关注。这款名为Banshee的恶意软件是一种价值3000美元的“偷窃者即服务”，主要目标是加密钱包和浏览器凭据。去年11月，当其源代码在地下论坛上泄露后，该恶意软件的运营突然结束，导致其创建者关闭了该服务。

Banshee的独特之处在于它巧妙地模仿了苹果的XProtect防病毒字符串加密算法，使其能够在2024年9月下旬至11月期间不被发现地运行；这种策略帮助它避开了安全工具，同时通过恶意GitHub存储库和钓鱼网站针对加密用户，分析Check Point解释道。

虽然其规避技术显示出复杂性，但Wardle将其核心盗窃能力描述为相对基本。“XOR是最基本的混淆类型，”他解释道，指的是苹果和Banshee采用的加密方法。“Banshee使用与苹果相同的方法这一事实无关紧要。”

值得注意的是，Wardle声称，最新版本的macOS默认情况下已经阻止了这种类型的威胁。“开箱即用，macOS将阻止大多数恶意软件，”他指出。“对普通Mac用户来说基本上没有风险。”

Wardle曾在美国国家安全局担任安全研究员，他观察到macOS中最近的变化影响了设备上运行的软件的签名方式或“公证（用苹果的技术术语）”。虽然存在更复杂的威胁，如零日漏洞利用，但Wardle建议专注于基本的安全实践，而不是任何特定的恶意软件。

他说：“安全性和可用性之间总是存在权衡。”“苹果走这条路。”

该案件突显了安全威胁如何被错误地传达给公众，特别是在翻译过程中丢失了技术细节的情况下。沃德尔说：“外面有复杂的恶意软件[……]但这不是其中之一。”

编辑人塞巴斯蒂安·辛克莱