卡巴斯基报告：针对钉钉与微信的 macOS 后门程序

近日，网络安全公司卡巴斯基发布了一份报告，揭示了一款名为 HZ Rat 的后门程序。这款恶意软件主要针对 macOS 系统，并试图从钉钉和微信的桌面版中窃取用户信息。值得注意的是，其攻击载体甚至利用了知名游戏公司的服务器。对于普通用户而言，了解这类威胁的基本情况，有助于提升日常的安全意识。

攻击的目标与伪装

根据卡巴斯基的报告，这次发现的 HZ Rat 后门程序是专门为 macOS 系统开发的。它的主要目标是两款广泛使用的企业通讯与社交软件：阿里巴巴的钉钉和腾讯的微信。需要明确的是，报告所指的均为 PC 或 Mac 桌面版本，不涉及手机应用。

这款恶意软件具有很强的隐蔽性。它将自己伪装成知名的加密隧道软件“OpenVPN Connect”，以此诱骗用户下载和安装。更令人警惕的是，在病毒扫描平台 VirusTotal 上，该样本一度未被包括卡巴斯基在内的任何安全软件检测出来。

后门程序收集哪些信息？

HZ Rat 的功能主要是信息收集，其范围相当广泛。我的理解是，攻击者意在尽可能多地获取受感染设备的各类数据，为后续可能的行动做准备。

具体来说，它收集的信息可以分为几类： 1. 系统与硬件信息：包括系统完整性保护状态、本地IP地址、蓝牙设备、Wi-Fi网络、硬件规格和存储情况等。 2. 应用信息：会获取设备上的应用清单。 3. 核心攻击目标——通讯软件数据：这是其重点。对于微信，它会收集用户ID、绑定的邮箱和电话号码；对于钉钉，则兴趣更大，会收集用户所在的企业/组织名称、部门、用户名、公司邮箱和电话。 4. 浏览器密码信息：报告还提到，它会尝试收集谷歌 Chrome 浏览器内置密码管理器中的用户名和网站信息。

攻击者的意图与当前状态

卡巴斯基在分析时发现了一个关键细节：HZ Rat 并未执行将文件写入磁盘或发送到远程服务器的命令。这意味着，在监测期间，它更像是一个潜伏的“侦察兵”。

因此，攻击者的具体意图尚不明确。一种合理的推测是，他们目前正处于大规模信息收集阶段，为未来可能发起的更具针对性的攻击（如商业窃密、精准诈骗等）储备数据。报告原文也指出，“这表明攻击者目前可能正在为未来的攻击收集信息”。

利用知名服务器增强迷惑性

这份报告还有一个引人关注的发现：HZ Rat 的样本文件被发现存储在游戏公司米哈游的服务器上。攻击者利用 hxxp://vpn.mihoyo[.]com 这样的域名来托管伪装成 OpenVPN 的恶意压缩包。

这样做通常有两个目的：一是利用知名公司的信誉增加文件的可信度，诱使用户放松警惕；二是有可能绕过一些基于域名信誉的安全检测机制。至于黑客是如何将文件上传到米哈游服务器的，报告称这仍然是个谜，也提醒我们即使是大公司的基础设施，也可能存在被利用的风险。

总结

总的来说，卡巴斯基的这份报告揭示了一种针对 macOS 用户、以窃取通讯软件信息为目的的新型威胁。它通过巧妙的伪装和利用正规公司的服务器来增强隐蔽性。虽然其最终攻击意图还未显现，但大量敏感信息的收集本身就构成了严重风险。对于普通用户而言，保持系统与安全软件更新、谨慎下载来路不明的软件（尤其是所谓“破解版”或非常规渠道获取的工具），是防范此类威胁的基本方法。