发现史上首款针对MacOS的LockBit勒索软件加密器

 史上首个专门针对MacOS的勒索软件 

近日，安全专家发现了首例专门针对Mac计算机的新型勒索软件LockBit。

从历史上看，LockBit勒索软件多使用专为攻击Windows、Linux和VMware ESXi服务器而设计的加密器。

然而，近日安全专家在VirusTotal上发现了一个ZIP存档，其中包括针对macOS、ARM、FreeBSD、MIPS和SPARC CPU的加密器架构。

其中，该存档包含一个名为“locker_Apple_M1_64”的文件，这个文件专门针对运行在 Apple Silicon 处理器上的较新 Mac。还有用于旧 Mac 使用的 PowerPC 处理器的扰码器。

值得注意的是，Apple M1加密器于2022年12月上传到VirusTotal ，这意味着这些样本已经流传了一段时间。

BleepingComputer 分析了 Apple M1 的 LockBit 加密器中的字符串，发现 macOS 加密器中的字符串不合适，表明这些字符串很可能是在测试中随意拼凑的。

例如，有许多对 VMware ESXi 的引用，这在 Apple M1 加密器中是不合适的，因为 VMare 宣布他们将不支持 CPU 架构。

此外，加密器包含一个包含 65 个文件扩展名和文件名的列表，这些文件扩展名和文件名将被排除在加密之外，所有这些都是 Windows 文件扩展名和文件夹。

下面列出了一小段 Apple M1 加密器不会加密的 Windows 文件，这些文件在 macOS 设备上都不合适。

几乎所有 ESXi 和 Windows 字符串也出现在 MIP 和 FreeBSD 加密器中，表明它们使用共享代码库。

macOS 网络安全专家进一步证实了 BleepingComputer 和思科的理论，即这些正在开发/测试构建中，并指出加密器远未完成，因为它缺少正确加密 Mac 所需的功能。

他认为 macOS 加密器是基于 Linux 版本的，并为具有一些基本配置设置的 macOS 编译，但它（还）不是为 macOS 设计的：

• 它只是临时签名，并没有经过公证，因此如果从互联网上下载，将不会（轻松地）在 macOS 上运行。
• 似乎没有考虑保护文件的 macOS 安全机制（例如 TCC、SIP 等），因此无法加密大部分内容。
• 其中包含触发缓冲区溢出（由 _chk_fail_overflow 检测）的错误，会终止程序。

LockBit 回应：

Mac 加密器“正在积极开发中”

对此，23年4月16日，LockBit 对外发言代表LockBitSupp 回应称，Mac 加密器“正在积极开发中”。

LockBit 攻击者向来以推动勒索软件开发的极限而闻名，因此未来看到针对这些 CPU 架构发布的更高级和优化的加密器也就不足为奇了。

虽然 Windows 一直是勒索软件攻击中最具针对性的操作系统，但没有什么能阻止开发人员创建针对 Mac 的勒索软件。

在此，建议包括 Mac 用户在内的所有计算机用户都应养成良好的在线安全习惯，保持操作系统更新、避免打开未知附件和可执行文件、生成离线备份，使用保密性强而独特的密码。