第159期安全事件
| 英文標題 | Inside Searchpageinstaller | Macos Malware Deploys A Mitm Attack |
| 中文標題 | SPI 惡意軟件針對 macOS 用戶進行中間人攻擊 |
| 作者及單位 | Philip Stokes |
| 內(nèi)容概述 |
SearchPageInstaller(SPI)是自 2017 年以來一直存在的廣告軟件,研究人員最近發(fā)現(xiàn)該惡意軟件針對 macOS 用戶。SPI 不是簡單地將瀏覽器重定向到非目標頁面,而是將廣告注入到用戶搜索返回的 html 文檔的頂部。因此,攻擊者需要在受感 染的計算機上啟用 HTTP 和 HTTPS 代理,在腳本中添加要實現(xiàn)的內(nèi)容,并替代搜索頁面結(jié)果頂部的廣告。 SPI 使用 mitmproxy(一種開源 HTTPS 代理)將腳本注入到網(wǎng)頁主體中,mitmproxy 本質(zhì)上充當服務器和客戶端之間的“中 間人”,“動態(tài)”創(chuàng)建虛擬證書讓服務器認為它是客戶端,客戶端認為它是服務器。借助 SPI 二進制文件,用戶提交密碼后, 就會手動安裝 mitmproxy CA 證書。盡管 SPI 是一個風險相對較低的廣告軟件活動,但它能夠操縱普通的 http 和加密的流量, 值得注意。 |
| 新聞鏈接 |
https://www.sentinelone.com/blog/inside-searchpageinstaller-macos-malware-deploys-mitm-attack/ |