双管齐下!黑客结合EmPyre后门和XMRig 矿工来攻击Mac系统

双管齐下!黑客结合EmPyre后门和XMRig 矿工来攻击Mac系统

本周早些时候,美国网络安全公司malwarebytes发现了一种针对Mac系统的新恶意软件,它结合了两种不同的开源工具——EmPyre后门和XMRig加密矿工——用于恶意目的。

恶意软件通过一款名为Adobe Zii的应用程序进行分发。Adobe Zii是旨在帮助各种盗版Adobe应用程序而设计的软件。然而,在这种情况下,尽管该应用程序被称为Adobe Zii,但它只是一款“冒牌”软件,绝非真正的Adobe Zii软件。

双管齐下!黑客结合EmPyre后门和XMRig 矿工来攻击Mac系统

从上面的屏幕截图中可以看出,左侧的真正Adobe Zii软件使用Adobe Creative Cloud图标。(毕竟,如果要编写软件来帮助人们窃取Adobe软件,为什么不顺手借用一条图标呢?)然而,此案例中的恶意软件安装程序使用的则是通用的Automator applet图标。

感染行为

使用Automator打开“冒牌”Adobe Zii应用程序可以发现该软件的本质,因为它只是运行一个shell脚本:

双管齐下!黑客结合EmPyre后门和XMRig 矿工来攻击Mac系统

此脚本旨在下载并执行Python脚本,随后下载并运行一个名为sample.app的应用程序。这个app并不复杂。它似乎只是Adobe Zii的另一个版本,最有可能的目的是使恶意软件看起来是“合法的”。

那么Python脚本呢?实际情况是它被混淆了,但去除混淆也并不是难事。脚本如下所示:

双管齐下!黑客结合EmPyre后门和XMRig 矿工来攻击Mac系统

这个脚本的第一件事就是寻找Little Snitch的存在,这是一种常用的外发防火墙,可以将后门的网络连接引起用户的注意。如果Little Snitch存在,则恶意软件会被淘汰。(当然,如果安装了像Little Snitch这样的防火墙,它就会阻止尝试下载此脚本的连接,因此在这一点上进行检查毫无价值。)

此脚本打开与EmPyre后端的连接,该后端能够将任意命令推送到受感染的Mac。后门打开后,它会收到一个命令,将以下脚本下载到/private/tmp/uploadminer.sh位置并执行它:

双管齐下!黑客结合EmPyre后门和XMRig 矿工来攻击Mac系统

此脚本下载并安装恶意软件的其他组件,创建了一个名为com.proxy.initialize.plist的启动代理,通过运行与前面提到的完全相同的混淆Python脚本来持久开放后门。

此外,该脚本还将XMRig 加密矿工和配置文件下载到/Users/Shared/ 文件夹中,并设置名为com.apple.rig.plist的启动代理,以使XMRig进程在该配置处于活动状态时始终以开发者设定的配置运行。

威胁尚不明确

Malwarebytes将此恶意软件检测为OSX.DarthMiner。从表面上看,这种恶意软件似乎是无害的,因为它最多只能通过占用所有的CPU和GPU资源来减慢受害者的Mac电脑的运行速度,然而危害远远不止于此。Malwarebytes的Thomas Reed补充称:“要记住,加密矿工是通过后门发出的命令安装的,过去很可能还有其他任意命令通过后门发送给受感染的mac电脑。”

妥协指标(IOCs)

双管齐下!黑客结合EmPyre后门和XMRig 矿工来攻击Mac系统

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/133306.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code