如果你是一名Mac用户，并且恰好正在使用Stockfolio股票软件，那么你要注意了！

近日，网络安全公司趋势科技宣称（ Trend Micro）发现了一种新型Mac恶意软件的两个变种，它们均伪装成合法的股票软件——Stockfolio。

变种一：Trojan.MacOS.GMERA.A

Trojan.MacOS.GMERA.A是一个.zip压缩文件，其中包含一个应用程序包（Stockfoli.app）和一个隐藏的加密文件（.app）。虽然少了一个字母“o”，但Stockfoli.app显然试图伪装成Stockfolio股票软件。

图1.压缩文件所包含的内容

第一个可疑组件是Resources目录下的一个应用程序包，它看上去像是合法的Stockfolio 1.4.13版本的副本，但实际上带有恶意软件作者的数字证书。

将它与在Stockfolio官网上找到的当前版本（1.5）的Resources目录进行对比，我们可以看到许多差异，如下图所示。

图2. Stockfolio恶意版本和合法版本（1.5）的对比

执行Stockfolio恶意版本时，我们确实会看到一个正常的Stockfolio软件界面，但实际上恶意软件变种正在后台执行其他的一些操作。

图3.执行Stockfolio恶意版本时显示的界面

Mach-O主可执行文件将在Resources目录中启动如下一对捆绑的Shell脚本：

• plugin
• stock

“plugin”脚本将从受感染的系统中收集以下信息：

• 用户名
• IP地址
• “/Applications”中的应用程序
• “~/Documents”中的文件
• “~/Desktop”中的文件
• 操作系统安装日期
• 文件系统磁盘空间使用率
• 图形/显示信息
• 无线网络信息
• 截图

紧接着，它将对收集到的信息进行base64编码并将它们保存在一个隐藏文件（“/tmp/.info”）中。

最后，它将使用收集到的用户名和设备序列号作为标识符将这个文件上传到hxxps://appstockfolio.com/panel/upload[.]php。

如果hxxps://appstockfolio.com/panel/upload[.]php发回响应，它将把响应写入另一个隐藏文件“~/Library/Containers/.pass”。

图4.“plugin”脚本

“stock”脚本首先会将“Stockfoli.app/Contents/Resources/appcode”复制到“/private/var/tmp/appcode”。

图5. “stock”脚本

紧接着，它将解码并执行“.app”文件，以释放文件“/tmp/.hostname”和“/tmp/.privatkey”。

接下来，它将删除“.app”文件，然后检查“~/Library/Containers/.pass”文件是否存在。

使用“.pass”文件的内容作为密钥，恶意软件变种将解密“/private/var/tmp/appcode”（AES-256-CBC加密），并将解密后的文件保存到“/tmp/appcode”。

最后，它将执行Stockfolio恶意版本的代码。如果失败，它将删除“/tmp/appcode”和“~/Library/Containers/.pass”。

图6. Stockfolio恶意版本和合法版本的代码签名信息对比

变种2：Trojan.MacOS.GMERA.B

基于Trojan.MacOS.GMERA.A的数字证书，趋势科技发现了第二个变种（Trojan.MacOS.GMERA.B）。

与Trojan.MacOS.GMERA.A一样，Trojan.MacOS.GMERA.B同样包含恶意版本的Stockfolio应用程序包。

图7. Trojan.MacOS.GMERA.B的文件结构

一旦打开，Trojan.MacOS.GMERA.B就将执行Stockfolio恶意版本1.4.13，然后启动shell脚本“run.sh”。

“run.sh”脚本将通过以下命令从受感染的系统收集用户名和IP地址。

username = ‘whoami’ip address = ‘curl -s ipecho.net/plain’

紧接着，它将连接到hxxp://owpqkszz[.]info，并使用以下格式上传收集到的信息。

hxxp://owpqkszz[.]info/link.php?{username}&{ip address}

此外，它还会释放文件“/private/tmp/.com.apple.upd.plist”（“~/Library/LaunchAgents/.com.apple.upd.plist”的副本）、“~/Library/LaunchAgents/.com.apple.upd.plist”（用于实现持久性）和“/tmp/loglog”（恶意软件执行日志）。

然后，它将为C&C服务器193[.]37[.]212[.]176创建一个简单的反向shell。一旦连接，恶意软件开发者就可以运行shell命令。

图8.“run.sh”脚本的内容

结论

Trojan.MacOS.GMERA.A到Trojan.MacOS.GMERA.B，我们可以注意到一种趋势，即恶意软件开发者简化了其例程并增加了更多功能。显然，这是为了提高恶意软件的“工作效率”。

同时，我们也再一次被提醒，在下载一些软件时一定要保持谨慎，尤其是当它们来自未知或可疑网站时。

《黑客视界》始终建议，应当从官方来源下载软件，以最大程度减少下载到恶意软件的几率。