过往骇客主要针对Windows电脑下手,但最近两到三年,他们将攻击范围扩及其他作业系统的情况越来越普遍,有骇客组织使用跨平台开发工具,打造出针对macOS、安卓作业系统的恶意程式。
基本上,Macma也是模组化的恶意程式,主要的功能收集装置指纹资料、执行命令、截取萤幕画面、侧录键盘输入内容、截取电脑声音,并能让攻击者上传或下载档案。但研究人员在最新的版本当中发现,骇客加入了多项调整与改进,这突显对该恶意程式极积开发的情形。
他们找到两个新版的Macma进行研究、分析,并指出骇客采用Tree(可公开取得的Linux、Unix公用程式)为基础开发新程式码,调整收集档案系统列表的逻辑;再者,则是改良AudioRecorderHelper功能的程式码,并加入新的功能参数及除错事件记录。此外,对方也加入名为param2.ini的档案,设置截取萤幕画面的相关参数。
究竟如何察觉这支恶意程式与Evasive Panda有关?研究人员在分析的过程中发现,这些后门程式竟然连线到IP位址是103.243.212[.]98的C2伺服器,而其中一款MgBot恶意程式载入工具也使用该伺服器进行通讯。
经过程式码的比对,他们发现Macma与MgBot及其他该组织使用的恶意程式,共用相同的程式库或框架开发而成。骇客使用这些程式库及相关元件,跨平台开发Windows、macOS、Linux、安卓版恶意程式。