一位同事介绍给我的一篇关于跨平台恶意软件的文章该软件名为Adwind RAT(“远程访问工具”的简称)。

这通常是“这个恶意软件是用Java编写的”的代码,但这并不一定意味着它实际上会丢弃一个Mac有效负载。所以我有点怀疑,就这么说了。但是,嘿,新的恶意软件……我怎么能不偷看一眼呢?

我注意到的第一件事是——惊奇,惊奇——恶意软件是用Java写的。我准备好失望了,从VirusTotal那里拿了一个滴管样本。

这个滴管是一个名为Doc-172394856.jar的文件。它似乎是某种类型的文档,但它不是很令人信服,因为它有一个.jar扩展名,而不是更期望的.docx或.pdf。罢工。

它还要求我安装Java来运行它。由于苹果多年前就不再在系统中加入Java,现在大多数人的mac电脑上都没有Java。因此,要打开它,你必须下载一个大文件——在确定要在Oracle的网站上下载什么之后——然后安装它。第二个打击。

其次,当然,该文件不是以任何方式共同设计的,所以Gatekeeper的默认设置当然会阻止它运行。三。

Adwind-Mac

所以我绕过了门卫。在Java中执行的文件,在大约一秒钟内打开然后再次关闭。没有打开诱饵文件,使它看起来好像用户实际上已经打开了一个文件。没有虚假的应用用户界面,让用户认为它是合法的。没有什么能让用户相信这是合法的。罢工……四?(好吧,体育的比喻在这一点上失败了。)

我已经做好了失望的准备,没想到会有什么有意义的感染。然而,当我查看文件系统发生了什么变化时,你瞧,有一个全新的启动代理,在一个全新的隐藏文件夹中加载一个可执行文件!

启动代理文件名为org.yrGfjOQJztZ。在用户LaunchAgents文件夹中找到。它加载了一个名为BgHSYtccjkN的Java应用程序。在用户的主文件夹的一个隐藏文件夹中找到。

Adwind-Mac-LaunchAgent

更有趣的是,当我浏览创建的文件时,我注意到我的网络摄像头灯亮着。然而,我无法找到任何新创建的视频文件,也无法在后续测试中重复这种行为。

除了使用网络摄像头之外,据报道,这种恶意软件还会执行其他一些后门活动,比如下载和执行新的恶意文件,执行远程命令,并从受感染的系统向黑客控制的服务器发送数据。

它与位于jmcoru(点)alcatelupd(点)xyz的服务器通信,数据被加密,以防止被爱管闲事的恶意软件研究人员窥探。

有趣的是,这种恶意软件似乎有很长的历史,至少从2012年初开始就以许多不同的名称分发,比如Frutas、Unrecom、jRAT、AlienSpy和JSocket。

碰巧的是,jRAT——一种可以用来创建自定义后门服务器的工具,用于感染机器——被认为被用来创建Jacksbot恶意软件2012年底,这一事件影响到了Mac用户。

最后,事实证明这是一个跨平台的恶意软件,在Mac上有效,但这并不意味着背后的黑客真的花了那么多精力让它在Mac上工作。

总之,这种恶意软件并不特别令人担忧。如果Mac用户想要用Adwind当前的形式感染他们的电脑,那就得费点劲了。

如果你下载了这个文件,或者通过电子邮件收到了它,在你感染自己之前,会有三个潜在的危险信号,而在你打开这个文件之后,另一个可能会提示你,你刚刚打开的并不是它看起来的那样。

总体而言,Adwind在Mac平台上的表现相当逊色。