以前word宏恶意软件攻击的对象一直是Windows系统电脑，但是现在黑客们的兴趣开始转向Mac。宏的概念可以追溯到20世纪90年代，宏是自动执行任务的一系列命令集。Microsoft Office支持用VBA(Visual Basic Application)语言来编写，但是黑客们也可以利用宏来安装恶意软件进行恶意行为。

最近，安全专家发现有些黑客利用攻击Windows系统的方法，即利用word文档中的恶意宏来在Mac电脑上安装恶意软件并且窃取用户数据。

如何利用宏文件窃取Mac用户信息

攻击者使用较为吸引人的标题诱骗用户打开文件，比如“特朗普当选美国总统支持者与反对者-卡内基国际和平基金会.docm”。当点击恶意宏文件之后，Mac电脑用户会被询问是否同意打开宏文件。一旦选择允许，用Python写的宏就会下载恶意软件payload，黑客们就会获取摄像头，获取浏览器历史记录，窃取密码和秘钥。

Synack安全公司的Patrick Wardle在其博客里说，宏文件里的Python函数与EmPyre（开源的Mac和Linux post-exploitation agent）极其类似。

Wardle跟踪了恶意宏文件发现了一个俄罗斯的IP地址，并且这个IP地址以前与钓鱼攻击等恶意行为有关。研究人员还发现了另外一个类似的事件，也是基于对Windows的攻击展开的，诱骗用户下载和安装虚假的软件更新，然后获取用户的keychain、用户名、密码等敏感数据。

MacDownloader不是伪装成Adobe Flash的更新，就是伪装成广告移除工具，对于大多数用户来说，看到这个提示是很反感的，一般都会选择拒绝更新。这正是黑客们所期望的，一旦用户点击了拒绝更新或点击了忽略一次，恶意软件就授权获取用户的keychain，用户名和密码，收集敏感数据，然后将获取的数据发送给黑客。

目前Mac OS X上的恶意软件现在的攻击目标主要是国防工业。而避免word宏文件攻击最好的方式就是选择拒绝在电脑上运行宏，并且避免从第三方或不信任的网站上下载软件。