趨勢科技本周四發(fā)布報告稱，Dridex 銀行惡意軟件的衍生版本正偽裝成普通文檔，通過電子郵件附件在 macOS 平臺進(jìn)行傳播。報告中指出該惡意程序原本是針對 Windows 平臺的，但現(xiàn)在黑客改變了攻擊策略，擴(kuò)大戰(zhàn)團(tuán)影響 macOS 平臺。

趨勢科技通過對 Dridex 惡意文件樣本進(jìn)行深入的分析發(fā)現(xiàn)，該惡意文件采用 Mach-O 文件，后者是可以在 macOS 和 iOS 平臺上運行的可執(zhí)行文件。這些惡意軟件使用的文件擴(kuò)展名包括 .o、.dylib 和 .bundle。

Mach-O 文件包含一個惡意文檔，一旦用戶打開它就會自動運行。然后它會覆蓋 macOS 用戶目錄中的所有 Microsoft Word 文件，并聯(lián)系遠(yuǎn)程服務(wù)器下載更多文件，包括運行 Dridex 惡意軟件的 Windows 可執(zhí)行文件 (.exe)。

我們了解到，這些可執(zhí)行文件無法在 macOS 上運行。但是，如果用戶的 Word 文件被惡意版本覆蓋，Mac 用戶可能會在在線共享文件時無意中感染其他人。

趨勢科技推薦用戶不要打開來源不明的附件。檢查發(fā)件人是誰，不僅通過顯示的發(fā)件人姓名，還通過電子郵件地址進(jìn)行甄別。

一個名為 VirusTotal 的在線工具可以掃描人們上傳的 URL 和文件，并檢測其中是否包含惡意軟件。例如，如果一封電子郵件的附件是 Microsoft Word 文檔或 Mach-O 文件，那么使用網(wǎng)站掃描它可能是個好主意。