苹果MacOS恶意软件借破解版安装包获取用户信息

苹果生态体系内部分优质软件需收费使用，导致消费者在网上寻找破解版，然而此类破解版软件可能潜藏风险。近期，据卡巴斯基安全实验室披露，已侦测到一类新型MacOS恶意软件，这类恶意软件通过伪装成免费破解版安装包实现攻击，盗取用户敏感信息。

聪明的犯罪分子通常会提供一个名为“Activator”的程序及所需安装的应用软件。伪造的安装程序不会直接运行，转而呈现详细的说明指导用户提取应用至/Applications/，并启动Activator。本应引起警觉的管理员权限提示框却因常见，使消费者难以察觉问题，从而轻易让攻击者获取更多管理权。

启动Activator后，程序会检查系统是否安装Python 3，若未安装则自动安装，整个过程伪装成程序升级修护。接下来，它将安装程序中修改的内容恢复正常，以便成功安装。更危险的是，它还会生成一个C2 URL（连接控制服务器的统一资源定位符）。这一URL会唤醒DNS服务器，让其下载含有恶意Python脚本的TXT记录。

该恶意脚本可建立后门、收集各类数据，如用户操作系统版本、已安装应用程序、CPU型号和外部IP地址等，甚至修改系统文件，保证自身在重启系统后仍能有效运作，让攻击者随时能够更新恶意脚本。借助管理员权限，此恶意程序可以执行任意脚本，如擅自取代用户的比特币核心和Exodus钱包，由此窃取用户财产。