新型Mac恶意软件结合了EmPyre后门和XMRig矿工

访客4年前黑客资讯637

新型Mac恶意软件结合了EmPyre后门和XMRig矿工

Malwarebytes 实验室成员于上周发现了一种新的Mac恶意软件,出于恶意目的这种软件结合了两种不同的开源工具——EmPyre后门和XMRig矿工。


恶意软件的传播途径是名为Adobe Zii的应用程序。Adobe Zii是一种帮助各种Adobe应用程序盗版复制的软件,但被恶意软件利用的Adobe Zii实际上并不是真正的Adobe Zii。


新型Mac恶意软件结合了EmPyre后门和XMRig矿工

从图片中可以看出,左边Adobe Zii软件使用的是Adobe Creative Cloud徽标,(标识是正版软件的重要标志,窃取者不会遗漏这个部分)但恶意软件安装程序使用通用的是Automator applet 图标。


行为

使用Automator打开假的Adobe Zii应用程序可以发现软件的本质,因为它只是运行一个shell脚本:


新型Mac恶意软件结合了EmPyre后门和XMRig矿工

新型Mac恶意软件结合了EmPyre后门和XMRig矿工

这个脚本用于下载并执行Python脚本,然后下载并运行一个名为sample.app的应用程序。


sample.app很简单。它看起来只是Adobe Zii的一个版本,其作用极可能是使恶意软件看起来实际上是“合法的”。(这并不意味着软件盗版是合法的,当然,而是意味着恶意软件试图看起来像是在做用户认为它打算做的事情。)


那么Python脚本呢?虽然被混淆了,但很容易被反混淆,使得研究人员揭示了以下脚本:


新型Mac恶意软件结合了EmPyre后门和XMRig矿工

(欲看脚本详细信息请戳https://blog.malwarebytes.com/threat- *** ysis/2018/12/mac-malware-combines-empyre-backdoor-and-xmrig-miner/)


该脚本的首要任务是寻找Little Snitch,Little Snitch是一个基于主机的应用防火墙为Mac系统,Little Snitch 通过Apple提供的标准应用程序编程接口(API)注册内核扩展来控制 *** 流量,旨在通过限制出站流量来保护隐私。所以如果Little Snitch存在,则恶意软件会被禁止。


此脚本打开与EmPyre后端的连接,该后端能够将任意命令推送到受感染的Mac。后门打开后,它会收到一个命令,将以下脚本下载到/private/tmp/uploadminer.sh并执行它:


新型Mac恶意软件结合了EmPyre后门和XMRig矿工

此脚本下载并安装恶意软件的其他组件。创建了一个名为com.proxy.initialize.plist的启动 *** ,通过运行与前面提到的完全相同的混淆Python脚本来持续打开后门。


该脚本还将XMRig cryptominer和配置文件下载到/ Users / Shared /文件夹中,并设置名为com.apple.rig.plist的启动 *** ,以使XMRig进程在该配置处于活动状态时运行。(“com.apple”名称是一个直接的危险信号,这是发现此恶意软件的根本原因)


有趣的是,该脚本中有代码用于下载和安装与mitmproxy软件相关的根证书,该软件能够拦截所有 *** 流量,包括(借助证书)加密的“https”流量。但是,该代码已被注释掉,表明它没有激活。


从表面上看,这种恶意软件似乎是无害的。由于一个进程占用了所有的CPU/GPU,Cryptominers通常只会导致计算机速度变慢。


但是,这不仅仅是一个密码系统。需要注意的是,cryptominer是通过后门发出的命令安装的,并且很可能已经有过去后门发送给受感染的Mac的其他任意命令。无法确切知道此恶意软件可能对受感染系统造成的损害。虽然研究者只观察到采矿行为,但并不意味着它从未做过其他事情。


启示

Malwarebytes检测到这个恶意软件为OSX.DarthMiner。如果用户设备被感染,虽然不能明确知道恶意软件的所有活动痕迹,但用户的文件或密码很有可能已被成功窃取。这为广大用户上了重要的一课:远离与盗版相关的事物可以避免许多风险,其风险成本或许远高于目标软件的正版价格。

相关文章

摆地摊适合卖什么?冬天摆地摊就卖这些!

摆摊合适做什么?摆摊赚钱快的货品,互联网创业谈摆摊拿货摆摊做小生意,一定要找销售市场大,盈利高的商品,而且寻找一套好的销售方法。没事儿能够多逛逛街,走走市场批发,多思索进哪些货最好是卖,你能发觉里边有...

数控机床刀片型号介绍(阿玛达数控冲床2510)

  12月18日,由东莞市英宁轩自动化科技有限责任公司(下称“英宁轩电子器件”)和广东省润兴高新科技有限责任公司(下称“润兴高新科技”)项目投资的忠县高端装备制造生产制造产业基地年产量5000台数控车...

黑客入侵银行系统山东枣庄(黑客怎么入侵银行系统)

黑客入侵银行系统山东枣庄(黑客怎么入侵银行系统)

本文导读目录: 1、现在科技那么发达,为什么很少听说银行被黑客入侵呢? 2、怎样入侵银行系统! 3、黑客入侵银行的系统只能从别的账户转走金额,为什么不能凭空改动自己账户上的金额数值 4、都...

如何在学校当机房装黑客(怎么黑学校机房电脑)

如何在学校当机房装黑客(怎么黑学校机房电脑)

本文目录一览: 1、如何控制学校机房? 2、机房怎么黑同学电脑 3、lenovo电脑如何伪装成黑客 4、机房如何入侵教师机并实施小型破坏(速度回答) 5、如何在清华同方电脑上伪装黑客...

老公老婆酒店开房记录查询,了解爱人外地开房实况

怎么恢复删除好友的聊天记录?微信好友删除后聊天记录肯定会一起消失,要想恢复微信聊天记录那真是难上加难,所以很多微信用户遇到这种情况就会自动放弃恢复,不过看完这篇文章,你以后就可以轻松恢复了,因为小编有...

电话回访(电话回访该怎么做)

电话回访(电话回访该怎么做)

电话回访工作主要由护士完成,在病人出院后对其进行电话回访,指导患者家庭护理、康复、健康教育和出院用药,在第一时间了解及帮助解答患者的专业性问题,并将问题反馈给医生,协助解决。 (图片转自网络...