您当前的位置:首页 > 电脑百科 > 安全防护 > 黑客技术

黑客突破macOS的安全防御,新型恶意软件正在偷偷的窃取你的文件

时间:2020-07-02 13:05:03  来源:  作者:

 

黑客突破macOS的安全防御,新型恶意软件正在偷偷的窃取你的文件

 

一种名为EvilQuest的新数据擦除程序和信息窃取程序正在使用勒索软件作为诱骗手段窃取macOS用户文件。从torrent跟踪器下载流行应用的木马安装程序后,受害者就被感染了。

一直以来macOS平台勒索软件虽然不常见,但macOS一直是黑客攻击的目标,其中KeRanger,FileCoder(又名Findzip)和Patcher是旨在针对macOS的三个恶意软件示例。

EvilQuest最初由K7实验室恶意软件研究员Dinesh Devadoss发现,并由Malwarebytes的Mac和Mobile总监Thomas Reed,Jamf首席安全研究员Patrick Wardle和BleepingComputer的Lawrence Abrams进行了分析,他们发现了一个有趣的转折。

黑客突破macOS的安全防御,新型恶意软件正在偷偷的窃取你的文件

在RUTracker上推广了被EvilQuest勒索软件感染的盗版应用(Malwarebytes)

安装键盘记录器并反弹shell

Devadoss发现EvilQuest具有检查其是否在虚拟机中运行的功能,并且具有反调试功能。

它还会检查一些常见的安全工具(Little Snitch)和反恶意软件解决方案(Kaspersky,Norton,Avast,DrWeb,Mcaffee,Bitdefender和Bullguard)并打开一个反向shell用于与其命令和控制(C2)服务器进行通信。

该恶意软件将连接到andrewka6.Pythonanywhere.com/ret.txt以获取C2服务器的IP地址,下载更多文件并发送数据。

有了这些功能,攻击者就可以完全控制受感染的主机。

在种子网站上以盗版应用程序分发传播

正如Reed在检查勒索软件后所发现的那样,EvilQuest被感染的安装程序丢弃了,这些安装程序包装了合法软件,包括但不限于Little Snitch,Ableton和Mixed in Key。

即使从流行的洪流站点下载的恶意.PKG安装程序都经过了代码签名,并且看起来像任何合法的安装程序在启动时一样,它们都以DMG文件的形式分发并且没有自定义图标,这是一个警告标志,表明某些内容不正确适用于许多macOS用户。

里德还发现,在分析其中一个EvilQuest示例的情况下,压缩安装程序文件的软件包包括盗版应用程序的原始安装程序和卸载程序,以及恶意的补丁二进制文件和用于启动安装程序的安装后脚本,以及启动恶意软件。

EvilQuest还将自身复制到〜/ Library / AppQuest / com.apple.questd中,并在〜/ Library / LaunchAgents / com.apple.questd.plist中创建一个启动代理属性列表,并将RunAtLoad项设置为true以在以下情况下自动启动:受害者登录系统。

在被感染的设备上获得持久性后,EvilQuest会启动自身的配置副本并开始加密文件,并在末尾附加BEBABEDD标记。

黑客突破macOS的安全防御,新型恶意软件正在偷偷的窃取你的文件

 

windows勒索软件不同,它似乎是随机锁定文件,从而在受感染的系统上产生各种问题,从加密登录钥匙串到将Dock重置为默认外观,并导致Finder冻结。

Wardle补充说:“文件加密完成后,它将使用赎金指令创建一个名为READ_ME_NOW.txt的文本文件。它还将使用macOS的文本转语音功能显示和读取模式提示,让用户知道他们的文件已加密。

黑客突破macOS的安全防御,新型恶意软件正在偷偷的窃取你的文件

 

受害者被要求在三天(72小时)内以比特币支付50美元赎金,以恢复其加密文件,并指示他们读取保存在其台式机上的赎金记录。

黑客突破macOS的安全防御,新型恶意软件正在偷偷的窃取你的文件

 

令人怀疑的是,EvilQuest正在为所有受害者使用相同的静态比特币地址,并且在付款后不包含要联系的电子邮件地址。

这使得攻击者无法识别支付了赎金的受害者,也无法让受害者联系勒索软件运营商以获取解密器。

将静态的比特币地址与缺乏联系方式结合在一起,就很明显地表明勒索软件是雨刷器(完全摧毁或删除目标计算机或网络的所有数据)。

用于数据盗窃的擦除器恶意软件

在通过BleepingComputer的Lawrence Abrams分析了该恶意软件之后,认为勒索软件仅仅是该恶意软件真正目的的诱饵。

那就是从受感染的计算机中搜索并窃取某些文件类型。

在Mac上执行该恶意软件时,它将执行Shell命令,这些命令将下载Python依赖项,伪装成GIF文件的Python脚本,然后运行它们。

黑客突破macOS的安全防御,新型恶意软件正在偷偷的窃取你的文件

 

上述命令执行的任务是:

删除/Users/user1/client/exec.command和/Users/user1/client/click.js文件。

下载并安装PIP

安装Python的'requests'依赖项下载p.gif(这是一个Python文件)并执行它。

下载pct.gif(这是另一个Python文件)并执行它。

p.gif文件是一个高度混淆的Python脚本,我们尚无法确定其功能。

黑客突破macOS的安全防御,新型恶意软件正在偷偷的窃取你的文件

 

在上面的文件中特别感兴趣的是注释:

# n__ature checking PoC
# TODO: PoCs are great but this thing will
# deliver much better when implemented in
# production  

pct.gif文件不会被混淆,并且显然是一个数据泄漏脚本,它会窃取/ Users文件夹下的文件并将其发送到远程URL。

黑客突破macOS的安全防御,新型恶意软件正在偷偷的窃取你的文件

 

执行后,此脚本将搜索/ Users文件夹下包含以下扩展名的所有文件

.pdf, .doc, .jpg, .txt, .pages, .pem, .cer, .crt, .php, .py, .h, .m, .hpp, .cpp, .cs, .pl, .p, .p3, .html, .webarchive, .zip, .xsl, .xslx, .docx, .ppt, .pptx, .keynote, .js, .sqlite3, .wallet, 
  .dat

对于符合搜索条件的任何文件,它将对文件的内容进行base64编码,然后将其和文件路径发送回至威胁参与者的Command&Control服务器。

这些文件包括文本文件,图像,word文档,SSL证书,代码签名证书,源代码,项目,备份,电子表格,演示文稿,数据库和加密货币钱包。

为了说明威胁行为者在另一端的情况,BleepingComputer创建了一个概念验证脚本,该脚本接受了上述数据窃取脚本的请求。

黑客突破macOS的安全防御,新型恶意软件正在偷偷的窃取你的文件

 

虽然PoC仅将文件的内容记录到日志文件中,但它可能已将每个文件都写入了与受害者IP地址匹配的文件夹中。

该脚本的一个有趣功能是它不会传输任何大小超过800KB的文件。

受害人该怎么办?

如您所见,EvilQuest抽头的破坏性远不如最初想像的大,因为不仅数据将被加密,而且如果受害者付款,它甚至可能无法解密。

更糟糕的是,该恶意软件将从您的计算机上窃取包含敏感信息的文件,这些文件可能用于各种恶意目的,包括身份盗窃,密码收集,窃取加密货币以及窃取私有安全密钥和证书。

如果您感染了该恶意软件,则应假定与所列扩展名匹配的所有文件均已被盗或以某种方式被破坏。

虽然不知道是否可以制作解密器,但用户可以安装Wardle的免费RansomWhere实用程序,该实用程序可以检测EvilQuest尝试获得持久性的尝试,并允许他们在开始锁定文件后将其终止。

里德还表示,适用于Mac的Malwarebytes能够以Ransom.OSX.EvilQuest的形式检测到这种新的macOS勒索软件,并将其从受感染的Mac中删除。

目前,研究人员仍在研究EvilQuest用于加密受害者文件的加密方法,以及加密中是否存在任何弱点。

 



Tags:黑客突破macOS   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
一种名为EvilQuest的新数据擦除程序和信息窃取程序正在使用勒索软件作为诱骗手段窃取macOS用户文件。从torrent跟踪器下载流行应用的木马安装程序后,受害者就被感染了。一...【详细内容】
2020-07-02  Tags: 黑客突破macOS  点击:(127)  评论:(0)  加入收藏
▌简易百科推荐
一、背景介绍作为一名渗透测试工作人员(或者小白),在我们的日常工作或者学习中,我们不可能时时刻刻将自己的个人电脑(安装好Kali Linux的个人主机)带在身边,当我们没有带自己的个人...【详细内容】
2021-12-27  Kali与编程    Tags:Kali Linux   点击:(3)  评论:(0)  加入收藏
我们都知道公司网络中开放的端口越多,遭受网络攻击的可能性就越大,就越容易发生数据泄露事件。 在这篇文章中,我们将讨论与开放端口相关的网络安全隐患。 网络中的端口 据统计...【详细内容】
2021-12-10  诺必达云服务    Tags:端口扫描   点击:(33)  评论:(0)  加入收藏
一、背景介绍DirBuster是用来探测web服务器上的目录和隐藏文件的。因为DirBuster是采用java编写的,所以运行前要安装上java的环境。 来看一下基本的使用: ①:TargetURL下输入要...【详细内容】
2021-12-07  Kali与编程    Tags:Dirbuster   点击:(28)  评论:(0)  加入收藏
#本文仅用于网络安全研究学习任何未经授权的入侵都是违法行为dir 浏览 创建文件 echo 文件内容 > 文件名字.扩展名 浏览文件内容 type 文件名 分页浏...【详细内容】
2021-12-07  WHOAMI    Tags:黑客   点击:(22)  评论:(0)  加入收藏
上一节中我们学了如何实现ARP断网攻击,本节中我们将利用ARP欺骗的原理实现截取目标计算机图片流量,内容包括:ü如何开启ip转发ü怎样截取受害机图片流量 一、开启ip转...【详细内容】
2021-11-23  Kali与编程    Tags:黑客   点击:(23)  评论:(0)  加入收藏
一、背景介绍大家在Linux的日常使用中都晓得如何通过命令行去配置Linux的端口开放规则,但是大家知道如何配置Windows入站出站规则吗?有哪些常见的危险端口呢?如何解决上述问题...【详细内容】
2021-11-15  Kali与编程    Tags:端口   点击:(39)  评论:(0)  加入收藏
1.背景介绍几乎每一个玩渗透的人都会接触到metasploit framework,简称msf。这是一个渗透测试框架,用ruby语言编写的,该框架集成了很多可用的exploit,比如著名的ms08_067等。你可...【详细内容】
2021-11-15  Kali与编程    Tags:服务扫描   点击:(37)  评论:(0)  加入收藏
在前面的课程中,我们学习了ARP攻击的理论和实践知识,知道了怎么进行攻击,这节中我们将学习如何进行防御,内容包括:ü借助第三方软件防御(360安全卫士,腾讯管家等)ü使用arp...【详细内容】
2021-11-13  Kali与编程    Tags:白帽   点击:(32)  评论:(0)  加入收藏
简介在sqlmap基础上增加了目录扫描、hash爆破等功能运行环境 linux 在云服务器上还是蛮不错的项目连接如下https://github.com/s0md3v/sqlmat usage: sqlmate [-h] [--dor...【详细内容】
2021-11-10  暗网视界    Tags:sqlmate   点击:(44)  评论:(0)  加入收藏
一、背景介绍在网上冲浪少不了用到搜索引擎,而很多朋友都习惯把Google视为第一个选择对象。当然Google无论在搜索速度还是结果关联性方面都是十分优秀的。但百度(http://www.b...【详细内容】
2021-11-05  Kali与编程    Tags:白帽黑客   点击:(31)  评论:(0)  加入收藏
相关文章
    无相关信息
最新更新
栏目热门
栏目头条