在周五一个复杂的Mac木马被发现了,叫做OSX。辩经,它安装恶意软件,旨在拦截所有HTTP和HTTPS流量。今天早上,亚当托马斯是一个Malwarebytes研究人员必威平台APP,发现了OSX.dok Dropper的变体,它的行为完全不同,并安装完全不同的有效载荷。
分配方法
此变体具有与OSX.DOK的滴管相同的表单 - 一个名为Dokument.App的压缩应用程序,伪装为文档。它以与以前的OSX.DOK滴管相同(现在撤销)证书签名,并且首先在同一时间上传到Virustotal。
OSX.Dok.B sha - 256: 54 ee71f6ad1f91a6f162bd5712d1a2e3d3111c352a0f52db630dcb4638101938
与以前的变体一样,这一个也副本/用户/共享/ AppStore.app,并显示相同的警报声称该应用程序已损坏:
然而,这个变体不会显示假的“OS X Updates Available”窗口,覆盖整个屏幕。大约一分钟后,它会关闭并删除自己。
而不是安装OSX。辩经, this dropper installs an open-source backdoor named Bella, created by someone who identifies himself on GitHub only as “Noah.”
行为分析
诺亚首先在2015年加入Github,但直到2016年8月在那里没有活跃,当时他开始创建Python脚本攻击各种麦克斯数据,例如窃取iCloud授权令牌或来自Chrome的密码和信用卡信息。
今年2月,他发布了《Bella》的代码,这是一个Python脚本,具有一些可怕的功能,包括:
- exfiltration的imessage和短信聊天记录
- 通过查找我的iPhone和查找我的朋友定位设备
- 网络钓鱼的密码
- 钥匙扣的灭绝
- 通过麦克风和摄像头采集数据
- 截图的创建和导出
- 远程shell和屏幕共享
Bella甚至包括通过系统中的漏洞(仅在Macos 10.12.1及更早版本上工作)或网络钓鱼以获取管理员用户密码的功能升级到root权限。上述一些功能依赖于获取root权限,而其他功能则没有。
Bella附带了一个名为BUILDER的脚本,可用于自定义其行为的某些方面。这个特定的贝拉副本已被配置为连接以下C&C服务器:
host = '185.68.93.74' #命令和控制IP(监听器将运行)端口= 4545 #贝拉将在哪个端口上运行
该地址由位于俄罗斯莫斯科的托管公司拥有。
还设置了恶意软件以在以下位置安装脚本,数据库和启动代理文件:
~ / /图书馆/容器。贝拉贝拉~ /图书馆/集装箱/ .bella / bella.db ~ /图书馆/ LaunchAgents / com.apple.iTunes.plist
如果可以实现root访问权限,它将替代地放在根库文件夹中的相应位置,而不是用户的库文件夹中。
结论
当然,由于这种恶意软件的Dokument.App Dropper上的代码签名证书已被撤销,因此在此时,没有人可以将这种特定变体进行新感染。但是,由于Bella是一个开放的源头,并且对于Python脚本非常强大,因此它很可能将在未来的其他恶意安装程序中删除。
尚不清楚诺亚,贝拉作者之间是否存在任何连接,以及osx.dok恶意软件的创建者。贝拉可以简单地被不相关的黑客使用,因为它被自由作为开源软件。
必威平台APPMalwareby for Mac.检测此恶意软件作为OSX.bella。如果您已被此类恶意软件感染,请在删除此后,请务必更改所有密码。
商业用户应该意识到这种恶意软件可以窃取大量的公司数据,包括密码、代码签名证书、硬件位置等等。如果你被感染了,联系你的IT部门。
评论