0x01 事件简介近期,在进行macOS终端威胁狩猎时,发现了一例macOS终端窃密木马,经过深入分析发现该木马专门针对macOS,会从受害者的机器上窃取大量敏感信息,包括浏览器自动填充、密码、cookie、钱包信息、钥匙串密码、操作系统系统信息、桌面和文档文件夹中特定格式文件,macOS开机密码 。经过溯源分析,该macOS窃密后门的传播途径主要是通过在软件下载网站发布免费破解软件、收费软件激活软件 。例如Axure RP破解软件,CleanMyMac X破解版 。最终引导用户下载运行恶意窃密后门 。
0x02 事件分析0x021 传播途径https://muzamilpc.com/ 该网站上所有的破解软件下载均会跳转到窃密后门下载地址.
下面以Axure RP破解版为例
文章插图
点击下载
文章插图
会跳转到名称为SecureMedia For Mac的下载网站
文章插图
看似是Axure RP破解版的软件最终下载回来的是macOS窃密木马AppleApp.dmg
文章插图
AppleApp.dmg没有签名. SHA256:997901477F7DA2060B1A3E087E866B2FE3E766662D208249614B74F74505534A
文章插图
打开界面
文章插图
VT检测情况:2/57
文章插图
类似的,再举个CleanMyMac X 免费版的例子
http://cleanmac-app.top/index.html
文章插图
点击下载免费版,看似是CleanMyMac X,其实下载回来的还是macOS窃密木马
文章插图
打开界面
文章插图
Setup.dmg同样没有签名,SHA256:64CB30DF490AD9B4988A5A19C0E745CA9D0DFEF39B5522E61E3214AF7BB0815B
文章插图
其他类似传播投毒的破解软件下载站点:
1.https://worldforcrack.com/
2.https://kingsoftz.com/
3.https://muzamilpc.com/
4.http://cleanmac-app.top/
0x022 静态分析以AppleApp.dmg为例,进行分析
macho文件拖进ida,进入mAIn函数,设置窗口展示大小及方式,然后创建线程执行"_s3huyyyYbcfU_"函数
文章插图
跟进"_s3huyyyYbcfU_"函数
文章插图
继续跟dotask函数
文章插图
定向获取基于Chromium的浏览器凭据文件
文章插图
获取用户的Cookies、Login Data、Web Data
文章插图
获取加密钱包浏览器扩展信息
文章插图
文章插图
获取用户的Keychain文件,Keychain文件是在苹果设备上存储敏感信息的安全容器,它是一种加密的数据库,用于存储密码、证书、私钥和其他敏感数据 。
文章插图
调用osascript创建dialog框骗取用户输入账号密码.
文章插图
同时,调用dscl对用户传入的密码进行本地开机密码校验
文章插图
直到输入正确密码为止
文章插图
获取操作系统信息,如果发现虚拟机,则退出 。
文章插图
获取用户桌面特定格式后缀的文件
文章插图
获取firefox浏览器中的cookies、历史登录记录、凭据信息
文章插图
获取用户冷钱包相关配置
推荐阅读
- 话费越扣越多?超1400万部手机被植入木马!
- 手机充电会被植入“木马”?有可能
- Mac电脑怎么设置壁纸
- 什么是三角木马 三角木马怎么样
- 可绕过苹果三重防护机制,专家发现 macOS 新漏洞
- 小S|韩国街头偶遇小S,44岁穿高中校服坐旋转木马,被网友吐槽装嫩
- 旋转木马|安福路小公主现身欢乐谷,多名粉丝围观人气高,坐旋转木马显违和
- 韩国电视剧《旋转木马》男主演,那个什么成彪、恩娇是谁演的……谢谢 津南政府网
- 苹果手机如何杀毒木马病毒~~苹果手机怎么杀毒?
- 简单游脚本平台!用简单游使用脚本安全吗.会不会有木马