上周,安全研究员帕特里克·沃德尔公布了一个伪装成合法应用iTerm2的新恶意软件.当天早些时候,该恶意软件被安全研究员Zhi (@CodeColorist在Twitter上),并详细说明一个中文博客.(对于那些不懂中文的人来说,Safari在翻译方面似乎做得不错。)

iTerm2是macOS Terminal应用程序的合法替代品,提供了一些Terminal没有的强大功能。它经常被高级用户使用。它是安全研究人员的最爱,因为Mac恶意软件倾向于控制或检测终端应用程序的使用,这可能会干扰对恶意软件进行反向工程的尝试。这使得iTerm2成为一个理想的木马程序,感染那些可能访问开发系统、研究情报等的人。

iTerm2是一个macOS的终端模拟器,它做了一些令人惊奇的事情
iTerm2是macOS Terminal应用程序的流行替代品

合法的iTerm2应用程序的网站是iTerm2.com.然而,恶意版本的iTerm2显然是通过iTerm2。净,这是一个非常有说服力的合法iTerm2网站的副本。

点击相似网站上的下载链接会导致iTerm2.dmg正在下载的磁盘映像文件kaidingle。com

iTerm2磁盘映像窗口
该恶意软件在一个磁盘镜像中,包含一个链接到“应用程序”文件夹的中文名称

磁盘映像抛出第一个危险信号。真正的iTerm2是以zip文件而不是磁盘映像的形式分发的。此外,对于一个网站设计非常专业的应用程序来说,磁盘图像文件是相当粗糙的。它还包括一个指向“应用程序”文件夹的链接,该链接有一个中文名称,这对于只使用英文且不包含任何中文本地化文件的应用程序来说是很少见的。

恶意软件的行为

恶意的iTerm2应用程序看起来是iTerm2应用程序的合法副本,但添加了一个文件:

iTerm.app /内容/框架/ libcrypto.2.dylib

当恶意应用程序启动时,会加载并运行恶意应用程序libcrypto.2.dylib动态库,它依次做一些事情。

其主要目的似乎是连接111年47.75.123(。),从中下载一个名为g.py还有一个mach-O双星GoogleUpdate/ tmp文件夹,然后同时执行它们。

GoogleUpdate二进制非常模糊,目前还不知道它到底是干什么的。然而,据帕特里克说,它与似乎是Cobalt Strike服务器(47.75.96 198:443。),这可能意味着它是Cobalt Strike的“信标”,可以为攻击者提供全面的后门访问权限。

g.py文件是纯文本的Python代码,因此其意图非常明确。它收集了以下数据:

  • 机器序列号。
  • 用户的主页、桌面、文档和下载文件夹的内容。
  • 应用程序文件夹内容。
  • 命令历史记录bashzsh,其中可以包含凭证等敏感信息。
  • git配置文件,其中包含潜在的敏感信息,包括电子邮件密码。
  • 设置文件,该文件可以包含用户访问的自定义服务器的详细信息。
  • . ssh文件夹,其中可以包含SSH的凭据。
  • 用户的钥匙链,其中包含许多凭据,如果可以获得用户的密码,就可以解锁。
  • SecureCRT终端仿真程序的配置文件。
  • 保存iTerm2的应用程序状态。

这些文件都被复制到~ / / tmp /图书馆/日志,压缩成文件在~ /图书馆/日志/ tmp.zip,然后上传到http://47.75.123 [] 111 / u.php ? id = % s(% s替换为机器的序列号)。

因此,首要目标是g.py脚本似乎用于获取凭证和其他数据,这些数据将用于组织内的横向移动。据推测,后门是由GoogleUpdate这一过程将用于进行横向运动并感染其他机器。

额外trojanized应用

随后的调查发现,其他应用程序也使用了木马程序libcrypto.2.dylib文件。这些应用程序是:

  • 微软远程桌面
  • SecureCRT
  • Navicat Premium(数据库管理应用)

受影响的是谁?

目前,安装了Malwarebytes的人似乎很少受到影响。必威平台APP到目前为止,我们只在亚洲的一台电脑上看到过检测。

有迹象表明,这种恶意软件可能主要分布在中国和其他东南亚国家,Malwarebytes在这些国家的安装基础相对较小。必威平台APP对于该地区以外的读者来说,你可能没有什么好担心的。

然而,谨慎的态度,如果你有其中一个应用程序,它将不是一个坏主意来取代它们与一个已知的合法复制,确定从官方网站的开发人员而不是从一个图片网站或下载镜像。

您还应该使用Malwarebytes进行扫描,它将检测到该恶意软必威平台APP件为OSX.ZuRu。

样品

iTerm2.dmge5126f74d430ff075d6f7edcae0c95b81a5e389bf47e4c742618a042f378a3fa com.microsoft.rdc.macos.dmg 5ca2fb207762e886dd3336cf1cb92c28f096a5fbb1798ea6721b7c94c1395259 Navicat15_cn.dmg 6df91af12c87874780cc9d49e700161e1ead71ae045954adbe7633ec9e5e45ff SecureCRT.dmg 1e462f8716275dbae6acb3ff4f7a95624c1afb23c5069fa42a14ed49c2588921