macOS后门Calisto藏匿于系统中两年未被发现

据安全公司卡巴斯基实验室称，最近发现的针对macOS系统的后门至少两年未被发现。

卡巴斯基的安全研究人员表示，该恶意软件被称为Calisto ，于2016年首次上传至VirusTotal，可能是在同一年创建的，但直到2018年5月才被反病毒解决方案检测到。

后门正在作为未签名的DMG图像进行分发，伪装成Intego的Apple Security OS的Internet Security X9。一个比较有合法的应用表明，威胁看上去还算有说服力的，是有可能欺骗用户，尤其是那些谁没有遇到过的应用程序。

启动时，恶意软件显示的伪造许可协议与Intego的合法协议相比略有不同。

接下来，Calisto会询问用户登录名和密码，但是一旦用户提供凭据，它就会挂起并显示错误消息，通知受害者他们应该从Intego的官方网站下载新的安装包。

在启用了SIP（系统完整性保护）的计算机上，当恶意软件尝试修改系统文件并且崩溃时，会发生错误。Apple在2015年推出了SIP，以保护关键系统文件不被修改，看起来恶意软件开发人员并没有考虑到这一点。

特洛伊木马使用名为.calisto 的隐藏目录来存储钥匙串存储数据，从用户登录/密码窗口提取的数据，网络连接信息以及谷歌浏览器数据（历史记录，书签和cookie）。

如果禁用SIP，则恶意软件会将自身复制到/ System / Library / 文件夹，将其自身设置为在启动时自动启动，卸载并卸载其DMG映像，将其自身添加到“辅助功能”，启用对系统的远程访问以及收集有关的其他信息系统并将所有数据发送到命令和控制（C＆C）服务器。

该特洛伊木马还包括一些未完成和未使用的功能，例如用于处理USB设备的内核扩展的加载/卸载，用户目录中的数据窃取以及自毁（与OS一起）。

卡巴斯基表示，Calisto的一些特性会使恶意软件接近Backdoor.OSX.Proton 系列。这个威胁构成了一个众所周知的杀毒软件（Proton伪装成赛门铁克产品），其代码包含“com.proton.calisto.plist”这一行，可以从系统中窃取大量个人数据，包括钥匙扣。

Proton远程访问木马是在2017年发现的。它被宣传为“专业的FUD监视和控制解决方案”，可以提供对受感染机器的完全远程控制，并且可以窃取从信用卡信息到击键和屏幕截图的任何内容。

“我们检测到的Calisto木马是在2016年之前创建的。假设这个木马是由同一作者编写的，它可能是Backdoor.OSX.Proton的最初版本之一，甚至是原型。后一种假设得到大量未使用和未完全实现的功能的支持。然而，他们在后期版本的Proton中失踪了，“卡巴斯基总结道。