记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

加密货币价格追踪器在macOS中安装后门

2018-10-31 12:20

研究人员发现macOS系统中一个伪装为加密货币ticker(股票价格收报机)的木马CoinTicker正在用户设备上安装后门。

成功安装后,CoinTicker应用允许用户选择不同的加密货币以监控其实时价格。然后会安装一个小的信息插件到macOS菜单栏,以实时更新当前价格,如下图所示。

Coin Ticker Mac Application

CoinTicker木马应用

CoinTicker应用在后台会秘密下载两个后门,这两个后门可以让攻击者远程控制受感染的计算机。Malwarebyte将其命名为1vladimir,在木马执行时会连接到远程主机,并下载大量的shell和python脚本,python和shell脚本的执行会下载和安装这两个后门。

Malwarebyte分析师称:恶意软件加载时,应用会下载和安装两个开源后门组件EvilOSX和EggShell。然后木马会从Github上下载EggShellEvilOSX后门的定制版本。首先,用下面的命令下载EggShell后门:

Download EggShell

下载EggShell

下载后,会创建一个启动代理,当用户登陆到mac系统中后自动开启EggShell后门。

Create Launch Agent

创建启动代理

之后会用混淆的脚本来下载EvilOSX后门。在执行下载时,恶意软件会发送不同的配置选项,这些配置选项自动加入到下载的后门中。

Download EvilOSX

用自定义配置下载EvilOSX

同样也会为EvilOSX后门创建自动启动的启动代理。

目前尚不清楚Coin Ticker就是一款恶意软件,还是被攻击者入侵了。Coin Ticker下载的web站点也没有任何联系信息,只有一个下载按钮,研究人员猜测这只是为了传播木马制作的shell。

CoinTicker Web Site

本文翻译自:https://www.bleepingcomputer.com/news/security/mac-cryptocurrency-price-tracker-caught-installing-backdoors/如若转载,请注明原文地址: http://www.hackdig.com/10/hack-53354.htm
知识来源: www.4hou.com/system/14288.html

阅读:109596 | 评论:0 | 标签:系统安全 macOS 后门 加密

想收藏或者和大家分享这篇好文章→复制链接地址

“加密货币价格追踪器在macOS中安装后门”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云