卡巴斯基安全實驗室近日在其官方博客上披露了一種針對蘋果macOS設備的新型惡意軟件家族，該惡意軟件家族被命名為“XLoader”。該實驗室提醒蘋果Mac用戶在下載破解軟件時要格外小心，因為這些軟件可能攜帶有該惡意軟件家族的成員。

據報告介紹，這種新型惡意軟件家族具有高度的復雜性和隱蔽性，它們主要通過偽裝成各種知名macOS軟件的破解版來分發，例如Adobe Photoshop、Microsoft Office等。用戶在下載并安裝這些惡意 PKG 文件之后，會被誘導輸入管理員密碼，從而授予惡意軟件設備管理權限。

該惡意軟件家族在獲得用戶許可之后，會使用一種名為“AuthorizationExecuteWithPrivileges”的技術，運行相關的可執行文件。這個技術可以讓惡意軟件以 root 權限執行任意命令，從而繞過 macOS 的安全機制。

然后，惡意軟件會檢查系統中是否存在Python 3，并在需要時進行安裝。這個過程會給用戶造成一種正常的應用程序打補丁的假象。

接下來，惡意軟件會以 "apple-health [.] org" 為幌子與控制服務器聯系，獲取能夠執行任意命令的 base64 編碼 Python 腳本。這些腳本可以讓惡意軟件執行各種惡意活動，例如建立后門、收集用戶信息、修改系統文件、竊取錢包等。

值得注意的是，攻擊者使用了一種創新的方法來生成聯系 URL。他們將兩個硬編碼列表中的單詞與隨機字母序列連接起來，每次都會生成一個獨特的子域。例如，“apple-health [.] org”就是由“apple”和“health”兩個單詞以及一個隨機字母序列組成的。

卡巴斯基專家指出，向DNS服務器發出的請求看似正常，但實際上是為了檢索包含惡意有效載荷的TXT記錄。DNS服務器的響應包括三個 TXT 記錄片段，每個片段都以 base64 編碼，并使用AES對信息進行加密，這些片段累積起來就形成了Python腳本。

該惡意軟件家族可以建立后門，收集用戶操作系統版本、應用程序、CPU 類型和外部 IP 地址等數據。此外該惡意軟件還會修改系統文件，以確保惡意腳本即使在系統重啟后也能保持激活狀態。

據鉍讀網了解，惡意軟件還會掃描比特幣核心和Exodus錢包，將發現的錢包替換為篡改版本，從而向攻擊者泄露重要信息�？ò退够�安全實驗室建議蘋果 Mac 用戶不要輕信破解軟件的誘惑，盡量從官方渠道下載和安裝軟件，并使用可靠的安全產品來保護自己的設備和數據。