PDF 转换工具成木马温床：针对 Mac 的新攻击曝光，可劫持 Chrome 浏览器窃取数据 / 诈骗钱财

图片地址：https://img.ithome.com/newsuploadfiles/2025/8/5d525fbc-49e0-4c3f-b292-a624d0d403c7.png?x-bce-process=image/format,f_auto

IT之家 8 月 28 日消息，科技媒体 9to5Mac 昨日（8 月 27 日）发布博文，报道称苹果设备管理与安全公司 Mosyle 报告了名为“JSCoreRunner”的新型 Mac 恶意软件，通过伪装成 PDF 转换工具的网站 fileripple [.] com 传播。IT之家援引博文介绍，这款新型 Mac 恶意软件成功逃避了 VirusTotal 上的所有检测，属于零日攻击，能够绕过现有安全防护。攻击者通过虚假文件转换网站 fileripple [.] com，引诱用户下载伪装成 PDF 转换工具的程序，从而在用户不知情的情况下植入恶意代码。该恶意软件采用双阶段感染模式。第一阶段的安装包名为 FileRipple.pkg，界面上会显示一个看似正常的 PDF 工具预览，实际上在后台静默运行恶意代码。虽然该包的开发者证书已被苹果吊销，macOS 会阻止运行，但真正的恶意载荷隐藏在第二阶段的 Safari14.1.2MojaveAuto.pkg中。第二阶段安装包未签名，因此可绕过 Gatekeeper 默认保护机制。执行后，它会先与远程命令控制服务器通信确认安装，然后去除隔离属性并设定主程序路径，完成系统感染。此过程完全在用户不知情的情况下进行，增加了检测难度。JSCoreRunner 的主要目标是劫持用户的 Google Chrome 浏览器，会扫描~/Library/ Application Support / Google / Chrome/ 目录