由路易斯·马格萨(Luis Magisa) 我们看到了网络分子用来欺骗潜在受害者的多种方法,但这当然是不寻常的。 我们的最新分析表明,网络分子甚至利用非法破解软件程序诱使用户安装恶意应用。 在这种特殊情况下,我们发现了一个冒充Adobe Zii(一种用于破解Adobe产品的工具)的恶意应用,该应用针对macOS系统来挖掘加密货币并窃取信用卡信息。 技术分析 em>
源自VirusTotal并由Malwarebytes首先报告的恶意应用程序以“ Adobe Zii.app”的形式到达目标系统。
图1. Adobe Zii.app的内容 执行后,它使用 automator.app 来启动在 Adobe Zii.app \ Contents \ document.wflow 中找到的Bash脚本代码。 图2.恶意软件启动Bash脚本代码 在运行Adobe Zii.app的副本时,我们观察到它从hxxp:// 46 [。] 226 [。] 108 [。] 171:80 /下载 sample.app sample.zip并将其保存到用户目录〜/ 中。 然后提取内容并在系统中执行。 这是用于伪装其恶意后台活动的原始Adobe Zii.app。 我们还发现该恶意软件连接到hxxps://ptpb.pw/jj9a,其中包含一个加密的Python脚本,该脚本检查Little Snitch(用于macOS的基于主机的应用程序防火墙)是否正在运行 。 如果不是,该脚本将连接到hxxp:// 46 [。] 226 [。] 108 [。] 171:4444 / login / process.php,该主机托管一个加密的Empyre后端,能够将任意命令推送到受感染的macOS 系统。 一旦后门运行,它将收到从hxxp:// 46 [。] 226 [。] 108 [。] 171:4444 / uploadminer [。] sh下载Bash脚本的命令。 uploadminer.sh 文件将保存到系统并执行。
MacOS恶意软件窃取信用卡信息
uploadminer.sh 包含能够从Google Chrome浏览器中窃取已保存信息的例程。 目标信息包括原始URL,用户名,密码以及信用卡名,号码和有效期。 图3.恶意软件窃取用户凭据和信用卡信息 该恶意软件连接到hxxp:// 46 [。] 226 [。] 108 [。] 171 / harmlesslittlecode [。] py,并将Python脚本保存到〜/ Library / Application Support / Google / Chrome / Default。 这将用于显示来自Google Chrome浏览器的解密信息。 然后,该信息将以.txt文件的形式收集,并与Google Chrome cookie一起以.zip压缩。 它将另存为〜/ Library / Application Support / Google / Chrome / Default / {username} .zip,然后上传到hxxp:// 46 [。] 226 [。] 108 [。] 171:8000。
自动启动技术和加密货币挖矿
该恶意软件还从hxxp:// 46 [。] 226 [。] 108 [。] 171 / com [。] apple [。] rig2 [。] plist下载plist文件并将其保存到〜/ Library / LaunchAgents。 plist文件将用于启动xmrig2来挖掘加密货币。 它还从hxxp:// 46 [。] 226 [。] 108 [。] 171 / com [。] apple [。] proxy [。] initialize [。] plist下载plist文件,该文件包含与Python相同的加密Python命令 检查Little Snitch是否正在运行并连接到加密的Empyre后端的程序。 这些plist文件通过 launchctl 命令加载到系统中,使它们可以在启动时运行。 该恶意软件连接到hxxp:// 46 [。] 226 [。] 108 [。] 171 / xmrig2,并将文件保存到/ Users / Shared / xmrig2,以挖掘加密货币。 保存的文件是用于特别挖掘Koto的命令行应用。 图4.脚本中包含cryptocurrency-mining命令 的条目 以下凭据将用于在受感染的系统上挖掘加密货币:
趋势科技解决方案
MacOS用户可以通过定期更新系统和应用程序以修补可利用的漏洞来防范此类威胁。 此外,从官方网站和受信任的应用程序商店下载软件和应用程序可以防止构成合法程序的威胁。
MacOS用户还可以从安全解决方案中受益,例如Mac的趋势科技微型家庭安全,它提供了全面的安全性和针对网络威胁的多设备保护。 企业可以从带有XGen™安全性的趋势科技的Smart Protection Suite中受益,该套件将高保真机器学习融入了威胁防护技术的混合物中,从而消除了任何用户活动和端点之间的安全漏洞。
妥协指标(IoC)
文件
检测名称
SHA256s
Adobe Zii.app.zip Coinminer.MacOS.MALXMR.A
ebecdeac53069c9db1207b2e0d1110a73bc2 89e31b0d3261d903163ca4b1e31e document.wflow Coinminer.MacOS.MALXMR.A
7b90fe8aec599625dd7d4ce0026f839c16fc 12aa11839a88055cf49a6db9529b uploadminer.sh Coinminer.SH.MALXMR.A
6236f77899cea6c32baf0032319353bddfec af088d20a4b45b855a320ba41e93 com.proxy.initialize.plist Coinminer.MacOS.MALXMR.A
cdb2fb9c8e84f0140824403ec32a2431fb35 7cd0f184c1790152834cc3ad3c1b com.apple.rig2.plist Coinminer.MacOS.MALXMR.A
91b3f5e5d3b4e669a49d9c4fc044d0025cab b8ebb08f8d1839b887156ae0d6dd harmlesslittlecode.py Coinminer.Python.MALXMR.A
7bc657c96c15ec0629740e00a9c7497417b 599694c6b7598eeff095136cbd507
xmrig2 Coinminer.MacOS.MALXMR.A
ede858683267c61e710e367993f5e589fcb4 b4b57b09d023a67ea63084c54a05
更新时间:2019年2月11日10:40 AM 根据更深入的分析,我们发现开采的加密货币是Koto,而不是Monero。 我们将 Monero 更改为 Koto 以反映此更正。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢