加密货币价格追踪器在macOS中安装后门
导语:研究人员发现macOS系统中一个伪装为加密货币ticker(股票价格收报机)的木马CoinTicker正在用户设备上安装后门。
研究人员发现macOS系统中一个伪装为加密货币ticker(股票价格收报机)的木马CoinTicker正在用户设备上安装后门。
成功安装后,CoinTicker应用允许用户选择不同的加密货币以监控其实时价格。然后会安装一个小的信息插件到macOS菜单栏,以实时更新当前价格,如下图所示。
CoinTicker木马应用
CoinTicker应用在后台会秘密下载两个后门,这两个后门可以让攻击者远程控制受感染的计算机。Malwarebyte将其命名为1vladimir,在木马执行时会连接到远程主机,并下载大量的shell和python脚本,python和shell脚本的执行会下载和安装这两个后门。
Malwarebyte分析师称:恶意软件加载时,应用会下载和安装两个开源后门组件EvilOSX和EggShell。然后木马会从Github上下载EggShell和EvilOSX后门的定制版本。首先,用下面的命令下载EggShell后门:
下载EggShell
下载后,会创建一个启动代理,当用户登陆到mac系统中后自动开启EggShell后门。
创建启动代理
之后会用混淆的脚本来下载EvilOSX后门。在执行下载时,恶意软件会发送不同的配置选项,这些配置选项自动加入到下载的后门中。
用自定义配置下载EvilOSX
同样也会为EvilOSX后门创建自动启动的启动代理。
目前尚不清楚Coin Ticker就是一款恶意软件,还是被攻击者入侵了。Coin Ticker下载的web站点也没有任何联系信息,只有一个下载按钮,研究人员猜测这只是为了传播木马制作的shell。
发表评论
提供云计算服务