6支假冒Flash軟體的Mac惡意程式騙過蘋果公證機制上架

安全公司Intego近日在App Store發現6支假冒Flash安裝器（installer）軟體的Mac惡意程式，躲過了蘋果的公證機制而成功上架。不過蘋果很快就封鎖了這些程式的開發商。

從macOS 10.15版(Catalina) 起，蘋果要求所有Mac App開發商將其應用程式發布前，需送交公證（notarization）檢查程式碼是否有惡意元件。未經公證的Mac App在開啟時，會遭到macOS上GateKeeper軟體的阻擋。但是Intego研究人員發現，已經有惡意程式可以成功躲過這個檢查機制。

Intego發現了6個偽裝Flash Player安裝軟體的macOS版MacOffers（或稱MaxOfferDeal）木馬程式，但是從10月6日到13日，6隻磁碟映像檔（.dmg）及第1階段的木馬樣本，在VirusTotal病毒檢測平臺上完全沒有防毒產品偵測到。到10月12日，VirusTotal 上60個防毒引擎中只有4個偵測到1隻第2階段的惡意程式樣本。

研究人員指出，MacOffer之所以能躲過蘋果的公證，可能是因為它使用圖像隱碼術（steganography）的技倆，將惡意程式藏在一個分開的JPEG圖形檔中（如下圖所示）。這個JPEG看似無害，但內含惡意App的.zip檔，一旦安裝在macOS用戶電腦即釋出木馬程式。這類手法之前見於2019年的VeryMal Shlayer及2011年的假防毒軟體MacDefender。

圖片來源_Intego

蘋果已在10月12日吊銷了這隻惡意程式的開發商憑證，阻斷這些程式為害。

這並不是Intego第一次發現到蘋果公證了惡意程式上架。8月底該公司發現，高達40隻廣告程式Shlayer及Bundlore家族的惡意程式變種登上App Store。9月間安全研究人員Patrick Wardle也發現Shlayer偽裝的Flash Installer。

研究人員說，看到有任何網站要求使用者下載Adobe Flash Player千萬要留意，因為不僅微軟Windows和主要瀏覽器已不支援Flash Player，Adobe也早已宣布2020年底終止支援。但由於不是所有使用者都知道這事，惡意程式還是經常能冒充Flash軟體得逞。

根據Google網站，Chrome雖預設關閉Flash，但仍會在背景安裝並更新Flash Player。因此安全公司提醒，如果用戶仍需使用Flash內容，還是可以用Chrome存取網站，但切記再自己下載以免受害。