第159期安全事件
英文标题 | Inside Searchpageinstaller | Macos Malware Deploys A Mitm Attack |
中文标题 | SPI 恶意软件针对 macOS 用户进行中间人攻击 |
作者及单位 | Philip Stokes |
内容概述 |
SearchPageInstaller(SPI)是自 2017 年以来一直存在的广告软件,研究人员最近发现该恶意软件针对 macOS 用户。SPI 不是简单地将浏览器重定向到非目标页面,而是将广告注入到用户搜索返回的 html 文档的顶部。因此,攻击者需要在受感 染的计算机上启用 HTTP 和 HTTPS 代理,在脚本中添加要实现的内容,并替代搜索页面结果顶部的广告。 SPI 使用 mitmproxy(一种开源 HTTPS 代理)将脚本注入到网页主体中,mitmproxy 本质上充当服务器和客户端之间的“中 间人”,“动态”创建虚拟证书让服务器认为它是客户端,客户端认为它是服务器。借助 SPI 二进制文件,用户提交密码后, 就会手动安装 mitmproxy CA 证书。尽管 SPI 是一个风险相对较低的广告软件活动,但它能够操纵普通的 http 和加密的流量, 值得注意。 |
新闻链接 |
https://www.sentinelone.com/blog/inside-searchpageinstaller-macos-malware-deploys-mitm-attack/ |