近两年,木马是macOS平台上最常见的恶意软件,有十分之一的macOS用户受到木马的攻击,占绝大多数检测到的对操作系统的攻击。30%。第一个样本于 2018 年 2 月被发现,之后收集了近 32,000 个不同的木马恶意软件样本,并识别了 143 个 C&C 服务器。
它使用的算法自首次被发现以来几乎没有改变,其活动行为保持不变。
技术细节
从技术角度来看,一个相当常见的恶意软件。在所有变种中,只有最新的 下载 OSX..e 脱颖而出。这种恶意 软件 的变种是用 编写的,并且具有不同的算法。具体分析如下(样本MD5:):
感染的第一阶段
安装此 DMG 映像后,将提示用户运行“安装”文件,安装程序是一个脚本。
应用程序包中的可执行目录包含两个脚本:(main) 和 ()。后者用于实现数据加密功能:
接下来,主脚本生成唯一的用户和系统 IDmac显示恶意软件,并收集有关 macOS 版本的信息。根据此数据生成 GET 查询参数,下载ZIP 文件:
下载使用 unzip 函数将 /tmp/%() 目录的 ZIP 文件解压缩到 /tmp/tmp 目录:
ZIP 包含可执行的应用程序包:
解压文件后,脚本使用 chmod 赋予文件在系统上运行的权限:
该示例使用 sum 函数将原始 DMG 图标复制到新的 下载 的应用程序包所在的目录:
木马使用内置工具下载和解压,删除下载的文件及其解压后的内容:
第二阶段感染
它只执行攻击的初始阶段,渗透系统,加载和运行。调查.OSX。可以看到它对用户的负面影响。
安装程序看起来无害,只是提供安装:
但实际执行用户看不到的操作。首先,它安装了一个恶意扩展,将操作系统安全通知隐藏在恶意 软件 假窗口后面。通过单击通知中的按钮,用户同意安装扩展程序。
其中一个扩展被检测为非病毒:HEUR:...gen。它监控用户搜索并将其重定向到地址 hxxp://-a.[.]net/as?q=c:
示例还加载打包的工具。系统中添加了一个特殊的受信任证书,允许查看 HTTPS 流量,即所有用户流量都重定向到的代理。
所有通过 () 的流量都由 .py(-s 选项)处理:
此脚本将所有用户搜索查询重定向到 hxxp://-a.[.]net。不仅是唯一的广告软件应用系列,还有 .OSX.、.OSX. 和 .OSX..
软件传播
恶意软件传播是其生命周期的重要组成部分,解决这个问题的方法有很多:正在寻找你最喜欢的电视节目的最新一集?想现场观看足球比赛吗?要格外小心,因为感染的机会很高。
在大多数情况下,广告登陆页面会让用户精心设计在 Flash 播放器更新提示上安装恶意 软件 的虚假页面。
在视频描述中发现了指向恶意 软件下载 的链接:
在文章的脚注中:
根据WHOIS,它们属于同一个人,此类域名总数已超过700个。
统计显示,攻击主要针对美国用户(31%),其次是德国(14%)、法国(10%)和英国(10%)mac显示恶意软件,几乎所有的假Flash下载页面网站都有英文内容。
总结
从家庭研究可以得出结论,macOS 平台是网络犯罪分子的良好收入来源。木马链接甚至存在于合法资源上,攻击者非常擅长社会工程,很难预测下一个欺骗技术会有多复杂。
国际奥委会:
链接:
hxxp://80.82.77.84/.dmg
hxxp://sci-hub[.]tv
hxxp://kodak-world[.]com
C&C 网址:
hxxp://api.[.]com
hxxp://api.[.]com
hxxp://api.[.]com
发表评论