伪装成股票软件,新型Mac恶意软件旨在窃取用户信息

行业观察

如果你是一名Mac用户,并且恰好正在使用Stockfolio股票软件,那么你要注意了!

近日, 络安全公司趋势科技宣称( Trend Micro)发现了一种新型Mac恶意软件的两个变种,它们均伪装成合法的股票软件——Stockfolio。

变种一:Trojan.MacOS.GMERA.A

Trojan.MacOS.GMERA.A是一个.zip压缩文件,其中包含一个应用程序包(Stockfoli.app)和一个隐藏的加密文件(.app)。虽然少了一个字母“o”,但Stockfoli.app显然试图伪装成Stockfolio股票软件。

图1.压缩文件所包含的内容

将它与在Stockfolio官 上找到的当前版本(1.5)的Resources目录进行对比,我们可以看到许多差异,如下图所示。

图2. Stockfolio恶意版本和合法版本(1.5)的对比

执行Stockfolio恶意版本时,我们确实会看到一个正常的Stockfolio软件界面,但实际上恶意软件变种正在后台执行其他的一些操作。

图3.执行Stockfolio恶意版本时显示的界面

Mach-O主可执行文件将在Resources目录中启动如下一对捆绑的Shell脚本:

  • plugin
  • stock

    • “plugin”脚本将从受感染的系统中收集以下信息:

  • 用户名
  • IP地址
  • “/Applications”中的应用程序
  • “~/Documents”中的文件
  • “~/Desktop”中的文件
  • 操作系统安装日期
  • 文件系统磁盘空间使用率
  • 图形/显示信息
  • 无线 络信息
  • 截图

    • 紧接着,它将对收集到的信息进行base64编码并将它们保存在一个隐藏文件(“/tmp/.info”)中。

    最后,它将使用收集到的用户名和设备序列 作为标识符将这个文件上传到
    hxxps://appstockfolio.com/panel/upload[.]php。

    如果
    hxxps://appstockfolio.com/panel/upload[.]php发回响应,它将把响应写入另一个隐藏文件“
    ~/Library/Containers/.pass”。

    图4.“plugin”脚本

    “stock”脚本首先会将“
    Stockfoli.app/Contents/Resources/appcode”复制到“/private/var/tmp/appcode”。

    图5. “stock”脚本

    紧接着,它将解码并执行“.app”文件,以释放文件“/tmp/.hostname”和“/tmp/.privatkey”。

    接下来,它将删除“.app”文件,然后检查“
    ~/Library/Containers/.pass”文件是否存在。

    使用“.pass”文件的内容作为密钥,恶意软件变种将解密“/private/var/tmp/appcode”(AES-256-CBC加密),并将解密后的文件保存到“/tmp/appcode”。

    最后,它将执行Stockfolio恶意版本的代码。如果失败,它将删除“/tmp/appcode”和“
    ~/Library/Containers/.pass”。

    图6. Stockfolio恶意版本和合法版本的代码签名信息对比

    变种2:Trojan.MacOS.GMERA.B

    基于Trojan.MacOS.GMERA.A的数字证书,趋势科技发现了第二个变种(Trojan.MacOS.GMERA.B)。

    与Trojan.MacOS.GMERA.A一样,Trojan.MacOS.GMERA.B同样包含恶意版本的Stockfolio应用程序包。

    图7. Trojan.MacOS.GMERA.B的文件结构

    一旦打开,Trojan.MacOS.GMERA.B就将执行Stockfolio恶意版本1.4.13,然后启动shell脚本“run.sh”。

    “run.sh”脚本将通过以下命令从受感染的系统收集用户名和IP地址。

    username = ‘whoami’ip address = ‘curl -s ipecho.net/plain’

    紧接着,它将连接到hxxp://owpqkszz[.]info,并使用以下格式上传收集到的信息。

    hxxp://owpqkszz[.]info/link.php?{username}&{ip address}

    此外,它还会释放文件“
    /private/tmp/.com.apple.upd.plist”(“
    ~/Library/LaunchAgents/.com.apple.upd.plist”的副本)、“
    ~/Library/LaunchAgents/.com.apple.upd.plist”(用于实现持久性)和“/tmp/loglog”(恶意软件执行日志)。

    然后,它将为C&C服务器193[.]37[.]212[.]176创建一个简单的反向shell。一旦连接,恶意软件开发者就可以运行shell命令。

    图8.“run.sh”脚本的内容

    结论

    Trojan.MacOS.GMERA.A到Trojan.MacOS.GMERA.B,我们可以注意到一种趋势,即恶意软件开发者简化了其例程并增加了更多功能。显然,这是为了提高恶意软件的“工作效率”。

    同时,我们也再一次被提醒,在下载一些软件时一定要保持谨慎,尤其是当它们来自未知或可疑 站时。

    声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!

    上一篇 2019年8月25日
    下一篇 2019年8月25日

    相关推荐

    首页
    软件超市
    企服市场
    会员中心