苹果用户，当心！一个几乎无法检测到的针对Mac电脑的恶意软件

一种不寻常的恶意软件，可以远程控制网络摄像头、屏幕、鼠标、键盘，并安装其他恶意软件，五年多来一直在感染数百台Mac电脑—；就在几个月前被发现。

配音果蝇今年早些时候，Malwarebytes研究员托马斯·里德（Thomas Reed）首次检测到了Mac恶意软件，苹果迅速发布了安全补丁，以应对这种危险的恶意软件。

几个月后，前NSA黑客、现任安全公司Synack首席安全研究员帕特里克·沃德尔（Patrick Wardle）在野外发现约400台Mac电脑感染了新的果蝇恶意软件（果蝇2）。

沃德尔认为，感染果蝇2的Mac电脑数量可能会高得多，因为他只能访问一些用于控制果蝇的服务器。

尽管目前还不清楚谁是果蝇的幕后策划者，也不知道恶意软件是如何进入Mac电脑的，但研究人员认为，这种恶意软件已经活跃了大约十年，因为它的一些代码可以追溯到1998年。

沃德尔在演讲摘要中写道：“果蝇是2017年第一个OS X/macOS恶意软件，是一个相当有趣的样本。它被选择性地瞄准生物医学研究机构，被认为已经在雷达下飞行了很多年。”他将于本周晚些时候在黑帽子上发表演讲。

由于果蝇最初的感染媒介尚不清楚，与大多数恶意软件一样，果蝇可能通过传播感染的受感染网站或通过钓鱼电子邮件或诱杀应用程序感染Mac电脑。

果蝇是一种监控恶意软件，能够执行shell命令、移动和单击鼠标光标、捕获网络安全摄像头、杀死进程、获取系统正常运行时间、检索屏幕截图，甚至在受害者再次在Mac上活动时提醒黑客。

里德在今年1月的博客文章中写道：“我能想到的唯一一个原因是，这个恶意软件之前没有被发现，因为它被用于非常有针对性的攻击，限制了它的暴露。”

“虽然目前还没有证据表明该恶意软件与某个特定群体有关，但在生物医学研究机构中看到它的事实显然可能正是这种间谍活动的结果。”

沃德尔在注册了一台曾被攻击者使用的备份命令和控制（C&C）服务器后，发现了果蝇受害者。然后，他注意到大约400名感染了果蝇的Mac用户开始连接到该服务器。

从那里，研究人员还可以看到受果蝇感染的受害者的IP地址，表明90%的受害者位于美国。

沃德尔甚至还能看到受害者Mac电脑的名字，这使得“很容易非常准确地说出谁感染了病毒，”他告诉《福布斯》。

但沃德尔没有接管这些电脑或监视受害者，而是联系了执法部门，将发现的东西交给了执法人员，他们正在调查此事。

沃德尔认为监视是果蝇的主要目的，但目前尚不清楚是政府还是其他黑客组织。

沃德尔说：“这看起来不像是网络犯罪类型的行为；没有广告、没有键盘记录器或勒索软件。”。“它的功能看起来像是支持交互的操作—；当用户在计算机上处于活动状态时，它能够提醒攻击者，它可以模拟鼠标点击和键盘事件。”

由于果蝇的代码甚至包含Linux shell命令，因此该恶意软件在Linux操作系统上可以正常工作。因此，如果果蝇的Linux变体正在运行，也就不足为奇了。