导语:安全研究人员@noarfromspace发现OSX.Proton恶意软件的新变种通过一种新的传播方式进行传播,即伪造安全公司Symantec的博客。

安全研究人员@noarfromspace发现OSX.Proton恶意软件的新变种通过一种新的传播方式进行传播,即伪造安全公司Symantec的博客。

感染方法

该恶意关键是通过伪造的Symantec blog站点(symantecblog.com)进行传播的,该站点和真实的Symantec blog站点相似度极高,甚至镜像了内容。该伪造的博客的注册信息看起来是合法的,使用了和Symantec站点相同的名字和地址,但是注册的邮箱地址彻底暴露了——[email protected]

更可疑的是该站点使用的证书,是合法的SSL证书,但是发布者却是Comodo而不是Symantec。

伪造的blog站点有一条公告说,2014年的恶意软件CoinThief有了新变种。据调查,这是一个“故事”,事实上并没有这样的变种存在。这条假的公告诱使用户下载Symantec Malware Detector,可以检测和清除该恶意软件。事实上并没有这样的恶意软件和检测工具存在。

但是,虚假公告的链接在twitter上传播很快,一些传播的帐号也是伪造的,但是另外一些看起来是合法的。Proton恶意软件的首要目的是窃取密码,因此可以诱使那些以为这个公共为真的人进行下载。下载安装运行Symantec Malware Detector的用户会被该恶意软件感染。

Malware行为

在运行时,Symantec Malware Detector应用使用了Symantec的logo,有一个非常简单的窗口。

如果用户此时退出应用,恶意软件并没有真正地安装成功。但是,如果有人下载并打开了该应用,那么他应该此时就不会犹豫。

点击check的结果就是要求输入admin密码:

因为Mac用户会经常被要求输入密码,所以用户应该也不会怀疑。因此,大多数用户应该会告诉malware密码。(注:该密码输入对话框是伪造的,在真实环境下,合法的密码输入请求不会将密码告诉请求的应用。)

在提供了admin密码之后,应用会展示一个扫描电脑的进度条:

事实上,此时应用已经安装了Proton恶意软件了。

恶意软件就会开始获取信息,包括以明文方式记录用户的admin密码,和其他PII到隐藏文件中:

[...]
<metadata>
 <date>2017-11-19T20:29:19.801Z</date>
 <serial>*********</serial>
 <username>test</username>
 <fullname>test</fullname>
 <hostname>test%E2%80%99s Mac</hostname>
 <password>testpw</password>
 <os_version>10.12.6</os_version>
 <os_locale>en_US</os_locale>
</metadata>
[...]

该恶意软件会获取和泄露keychain文件、浏览器自动填充数据、密码管理器内容、GPG密码等。因为恶意软件已经获取了用户的密码,黑客就可以解密keychain文件了。

IOC

Symantec Malware Detector是一个彻底的伪造的名字,如果你看到这样的应用在电脑中的任何文件夹中,那么应该删掉它。如果不确定是不是恶意软件,那么可以检查代码的签名。在terminal中输入下面的代码:

codesign -dvvv "path/to/Symantec Malware Detector.app"

该恶意应用的签名是Sverre Huseby,使用的是teamid为E224M7K47W的证书。任何该证书签名的软件都应该是恶意的。

一旦恶意dropper应用运行,在系统中会有下面的路径:

/Library/LaunchAgents/com.apple.xpcd.plist
/Library/.cachedir/
/Library/.random/

.random目录是Proto可执行文件,在com.apple.xpcd.plist开始代理下保持运行。.cachedir保存泄露的数据。除了这些文件,/private/etc/sudoers文件也被修改了,应该加入了下面的一行:

Defaults !tty_tickets

发现之后应该把这行从sudoers文件中删掉。

幸运的是,Apple发现了该恶意软件并且吊销了对该软件签名的证书。这会防止以后Symantec Malware Detector继续感染设备,但是不能对已经感染的设备起到任何帮助作用。

结论

Proton最初是今年3月发现的,通过Handbrake和Eltima软件进行分发。所以,Proton应该会继续活动,类似的事件应该会继续发生。Proton的出现说明了Mac安全的研究形势,Mac已经成为越来越多的恶意软件的攻击目标,Mac已经没有我们想象地那么安全了。所以,用Mac的你要时刻注意!!!

源链接

Hacking more

...