霸主鼠

Overlord 是一款使用 Go 语言开发的远程访问木马 (RAT)，旨在攻击 Windows 和 macOS 环境。该恶意软件最初在韩国被发现，引发了人们对其可能被用于实际攻击的担忧。在 macOS 系统中，它能够与攻击者控制的基础设施建立持久通信，捕获用户输入并尝试篡改浏览器。强烈建议在检测到该恶意软件后立即将其清除，以防止进一步的损害。

技术构成和持续发展

该恶意软件使用 Go 1.25.6 编译为 macOS Apple Silicon (arm64) 二进制文件。其源代码以开源许可证公开发布在 GitHub 上，并有数百次提交记录和持续的积极开发。这种透明度和持续的贡献表明，Overlord 的功能，尤其是在 macOS 上的功能，在不久的将来可能会显著增强，从而增加其潜在威胁。

持久性和指挥控制行动

Overlord 恶意软件一旦部署到 macOS 设备上，便会连接到命令与控制 (C2) 服务器，等待操作员的进一步指令。它还采用了持久化机制，确保系统重启后仍能继续执行。此外，该恶意软件还会捕获键盘输入和鼠标活动，并通过内部通道传输这些数据，使攻击者能够实时掌握用户行为。

远程控制功能和命令集

Overlord 包含一套结构化的命令，可用于远程管理受感染的系统。这些命令旨在方便监视、系统交互和浏览器操控：

• hvnc_start 命令会启动一个隐藏的桌面会话，并将其流式传输给攻击者。
• hvnc_start_chrome_injected 和 hvnc_start_browser_injected 命令尝试重新启动 Chrome 等浏览器，并注入恶意修改。
• hvnc_lookup 命令用于解析受感染系统上的可执行文件路径。

虽然这些功能在 Windows 上更加成熟，但它们展示了高级远程控制功能的框架。

平台局限性和功能差距

代码库中的某些高级功能在 macOS 上尚未完全实现。隐藏的虚拟桌面功能和 DLL 注入机制目前仅作为占位符存在，执行时会返回平台不支持的消息。同样，进程注入到隐藏会话和有效载荷提取功能目前也仅限于 Windows 环境。尽管存在这些限制，核心监控和持久化功能在两个平台上仍然完全可用。

安全风险和影响评估

即使在目前状态下，Overlord 也构成重大的网络安全风险。其持久访问权限结合输入捕获功能，使攻击者能够广泛监控用户活动。这会导致凭证被盗、账户被非法访问以及长期监视的风险。虽然浏览器相关的操控功能在 macOS 上效果较差，但仍然引入了额外的风险途径。

感染媒介和传播方法

Overlord病毒的确切传播策略尚未得到证实。然而，与快速抗原转移病毒（RATs）相关的常见感染媒介强烈暗示其可能采用了欺骗性和机会性传播机制：

网络钓鱼邮件和社交工程攻击诱骗用户执行恶意文件
捆绑盗版软件、破解程序或来自不可信第三方来源的虚假安装程序
恶意下载、即时通讯平台中的恶意链接以及点对点文件共享网络

在更高级的场景中，一旦建立了初始访问权限，远程访问木马 (RAT) 可能会通过本地网络横向传播，或者通过可移动存储设备传播。

最终评估和防御考量

Overlord 是 macOS 恶意软件领域中日益增长的威胁。尽管其部分功能尚不完善，但其持久化和捕获用户输入的能力足以造成严重危害。持续的开发表明，更高级的功能可能很快就会出现。快速检测和清除仍然是最大限度减少损失和防止未经授权访问的关键。