日期:2023-12-09
来源:玫瑰财经网
浏览:次
如果你是一名Mac用户,并且恰好正在使用Stockfolio股票软件,那么你要注意了!
近日,网络安全公司趋势科技宣称( Trend Micro)发现了一种新型Mac恶意软件的两个变种,它们均伪装成合法的股票软件——Stockfolio。
Trojan.MacOS.GMERA.A是一个.zip压缩文件,其中包含一个应用程序包(Stockfoli.app)和一个隐藏的加密文件(.app)。虽然少了一个字母“o”,但Stockfoli.app显然试图伪装成Stockfolio股票软件。
第一个可疑组件是Resources目录下的一个应用程序包,它看上去像是合法的Stockfolio 1.4.13版本的副本,但实际上带有恶意软件作者的数字证书。
将它与在Stockfolio官网上找到的当前版本(1.5)的Resources目录进行对比,我们可以看到许多差异,如下图所示。
执行Stockfolio恶意版本时,我们确实会看到一个正常的Stockfolio软件界面,但实际上恶意软件变种正在后台执行其他的一些操作。
Mach-O主可执行文件将在Resources目录中启动如下一对捆绑的Shell脚本:
“plugin”脚本将从受感染的系统中收集以下信息:
紧接着,它将对收集到的信息进行base64编码并将它们保存在一个隐藏文件(“/tmp/.info”)中。
最后,它将使用收集到的用户名和设备序列号作为标识符将这个文件上传到hxxps://appstockfolio.com/panel/upload[.]php。
如果hxxps://appstockfolio.com/panel/upload[.]php发回响应,它将把响应写入另一个隐藏文件“~/Library/Containers/.pass”。
“stock”脚本首先会将“Stockfoli.app/Contents/Resources/appcode”复制到“/private/var/tmp/appcode”。
紧接着,它将解码并执行“.app”文件,以释放文件“/tmp/.hostname”和“/tmp/.privatkey”。
接下来,它将删除“.app”文件,然后检查“~/Library/Containers/.pass”文件是否存在。
使用“.pass”文件的内容作为密钥,恶意软件变种将解密“/private/var/tmp/appcode”(AES-256-CBC加密),并将解密后的文件保存到“/tmp/appcode”。
最后,它将执行Stockfolio恶意版本的代码。如果失败,它将删除“/tmp/appcode”和“~/Library/Containers/.pass”。
基于Trojan.MacOS.GMERA.A的数字证书,趋势科技发现了第二个变种(Trojan.MacOS.GMERA.B)。
与Trojan.MacOS.GMERA.A一样,Trojan.MacOS.GMERA.B同样包含恶意版本的Stockfolio应用程序包。
一旦打开,Trojan.MacOS.GMERA.B就将执行Stockfolio恶意版本1.4.13,然后启动shell脚本“run.sh”。
“run.sh”脚本将通过以下命令从受感染的系统收集用户名和IP地址。
username = ‘whoami’ip address = ‘curl -s ipecho.net/plain’
紧接着,它将连接到hxxp://owpqkszz[.]info,并使用以下格式上传收集到的信息。
hxxp://owpqkszz[.]info/link.php?{username}&{ip address}
此外,它还会释放文件“/private/tmp/.com.apple.upd.plist”(“~/Library/LaunchAgents/.com.apple.upd.plist”的副本)、“~/Library/LaunchAgents/.com.apple.upd.plist”(用于实现持久性)和“/tmp/loglog”(恶意软件执行日志)。
然后,它将为C&C服务器193[.]37[.]212[.]176创建一个简单的反向shell。一旦连接,恶意软件开发者就可以运行shell命令。
Trojan.MacOS.GMERA.A到Trojan.MacOS.GMERA.B,我们可以注意到一种趋势,即恶意软件开发者简化了其例程并增加了更多功能。显然,这是为了提高恶意软件的“工作效率”。
同时,我们也再一次被提醒,在下载一些软件时一定要保持谨慎,尤其是当它们来自未知或可疑网站时。
《黑客视界》始终建议,应当从官方来源下载软件,以最大程度减少下载到恶意软件的几率。
500吨汽车吊作业性能表(汽车吊支腿反力及抗倾覆验算)
石碣镇汽车站(今天,石碣汽车客运站恢复运营)
招贤汽车站(9月14日起,莒县K601路增开大站快车)
北京福田汽车图片(自重不到两吨,详解福田领航S1小卡)
东风轻型汽车(“东风轻型车”横空出世 未来无人驾驶车将快递送到家门口)
周口市汽车东站(郑阜高速铁路上的主要客运站——周口东站)
Copyright (c) 2022 玫瑰财经网 版权所有
备案号:冀ICP备17019481号
玫瑰财经网发布此信息的目的在于传播更多信息,与本站立场无关。玫瑰财经网不保证该信息(包含但不限于文字、视频、音频、数据及图表)全部或者部分内容的准确性、真实性、完整性、有效性、及时性、原创性等。
相关信息并未经过本网站证实,不对您构成任何投资建议,据此操作,风险自担。