PDF 转换工具成木马温床：针对 Mac 的新攻击曝光，可劫持 Chrome 浏览器窃取数据 / 诈骗钱财

8 月 28 日消息，科技媒体 9to5Mac 昨日（8 月 27 日）发布博文，报道称苹果设备管理与安全公司 Mosyle 报告了名为“JSCoreRunner”的新型 Mac 恶意软件，通过伪装成 PDF 转换工具的网站 fileripple [.] com 传播。

援引博文介绍，这款新型 Mac 恶意软件成功逃避了 VirusTotal 上的所有检测，属于零日攻击，能够绕过现有安全防护。攻击者通过虚假文件转换网站 fileripple [.] com，引诱用户下载伪装成 PDF 转换工具的程序，从而在用户不知情的情况下植入恶意代码。

该恶意软件采用双阶段感染模式。第一阶段的安装包名为 FileRipple.pkg，界面上会显示一个看似正常的 PDF 工具预览，实际上在后台静默运行恶意代码。虽然该包的开发者证书已被苹果吊销，macOS 会阻止运行，但真正的恶意载荷隐藏在第二阶段的 Safari14.1.2MojaveAuto.pkg中。

第二阶段安装包未签名，因此可绕过 Gatekeeper 默认保护机制。执行后，它会先与远程命令控制服务器通信确认安装，然后去除隔离属性并设定主程序路径，完成系统感染。此过程完全在用户不知情的情况下进行，增加了检测难度。

JSCoreRunner 的主要目标是劫持用户的 Google Chrome 浏览器，会扫描~/Library/ Application Support / Google / Chrome/ 目录下的所有配置文件，包括默认和额外用户配置文件，修改搜索引擎模板，将搜索和新标签页重定向到伪造搜索服务。同时，它会隐藏崩溃日志及“恢复上次会话”提示，降低用户察觉风险。

一旦浏览器被劫持，用户可能被引导至钓鱼网站、恶意广告或推广结果页面，进而遭遇键盘记录、数据窃取或财务诈骗。Mosyle 提供了相关文件的哈希值，方便安全人员添加检测规则，并强调应采用多层安全策略与用户教育相结合的防御模式。