近兩年，木馬是macOS平臺上最常見的惡意軟件，有十分之一的macOS用戶受到木馬的攻擊，占絕大多數(shù)檢測到的對操作系統(tǒng)的攻擊。30%。第一個樣本于 2018 年 2 月被發(fā)現(xiàn)，之后收集了近 32,000 個不同的木馬惡意軟件樣本，并識別了 143 個 C&C 服務(wù)器。

它使用的算法自首次被發(fā)現(xiàn)以來幾乎沒有改變，其活動行為保持不變。

技術(shù)細(xì)節(jié)

從技術(shù)角度來看，一個相當(dāng)常見的惡意軟件。在所有變種中，只有最新的 下載 OSX..e 脫穎而出。這種惡意 軟件 的變種是用 編寫的，并且具有不同的算法。具體分析如下（樣本MD5：）：

感染的第一階段

安裝此 DMG 映像后，將提示用戶運(yùn)行“安裝”文件，安裝程序是一個腳本。

應(yīng)用程序包中的可執(zhí)行目錄包含兩個腳本：(main) 和 ()。后者用于實(shí)現(xiàn)數(shù)據(jù)加密功能：

接下來，主腳本生成唯一的用戶和系統(tǒng) IDmac顯示惡意軟件，并收集有關(guān) macOS 版本的信息。根據(jù)此數(shù)據(jù)生成 GET 查詢參數(shù)，下載ZIP 文件：

下載使用 unzip 函數(shù)將 /tmp/%() 目錄的 ZIP 文件解壓縮到 /tmp/tmp 目錄：

ZIP 包含可執(zhí)行的應(yīng)用程序包：

解壓文件后，腳本使用 chmod 賦予文件在系統(tǒng)上運(yùn)行的權(quán)限：

該示例使用 sum 函數(shù)將原始 DMG 圖標(biāo)復(fù)制到新的 下載 的應(yīng)用程序包所在的目錄：

木馬使用內(nèi)置工具下載和解壓，刪除下載的文件及其解壓后的內(nèi)容：

第二階段感染

它只執(zhí)行攻擊的初始階段，滲透系統(tǒng)，加載和運(yùn)行。調(diào)查.OSX?？梢钥吹剿鼘τ脩舻呢?fù)面影響。

安裝程序看起來無害，只是提供安裝：

但實(shí)際執(zhí)行用戶看不到的操作。首先，它安裝了一個惡意擴(kuò)展，將操作系統(tǒng)安全通知隱藏在惡意 軟件 假窗口后面。通過單擊通知中的按鈕，用戶同意安裝擴(kuò)展程序。

其中一個擴(kuò)展被檢測為非病毒：HEUR:...gen。它監(jiān)控用戶搜索并將其重定向到地址 hxxp://-a.[.]net/as?q=c：

示例還加載打包的工具。系統(tǒng)中添加了一個特殊的受信任證書，允許查看 HTTPS 流量，即所有用戶流量都重定向到的代理。

所有通過 () 的流量都由 .py（-s 選項(xiàng)）處理：

此腳本將所有用戶搜索查詢重定向到 hxxp://-a.[.]net。不僅是唯一的廣告軟件應(yīng)用系列，還有 .OSX.、.OSX. 和 .OSX..

軟件傳播

惡意軟件傳播是其生命周期的重要組成部分，解決這個問題的方法有很多：正在尋找你最喜歡的電視節(jié)目的最新一集？想現(xiàn)場觀看足球比賽嗎？要格外小心，因?yàn)楦腥镜臋C(jī)會很高。

在大多數(shù)情況下，廣告登陸頁面會讓用戶精心設(shè)計(jì)在 Flash 播放器更新提示上安裝惡意 軟件 的虛假頁面。

在視頻描述中發(fā)現(xiàn)了指向惡意 軟件下載 的鏈接：

在文章的腳注中：

根據(jù)WHOIS，它們屬于同一個人，此類域名總數(shù)已超過700個。

統(tǒng)計(jì)顯示，攻擊主要針對美國用戶（31%），其次是德國（14%）、法國（10%）和英國（10%）mac顯示惡意軟件，幾乎所有的假Flash下載頁面網(wǎng)站都有英文內(nèi)容。

總結(jié)

從家庭研究可以得出結(jié)論，macOS 平臺是網(wǎng)絡(luò)犯罪分子的良好收入來源。木馬鏈接甚至存在于合法資源上，攻擊者非常擅長社會工程，很難預(yù)測下一個欺騙技術(shù)會有多復(fù)雜。

國際奧委會：

鏈接：

hxxp://80.82.77.84/.dmg

hxxp://sci-hub[.]tv

hxxp://kodak-world[.]com

C&C 網(wǎng)址：

hxxp://api.[.]com

hxxp://api.[.]com

hxxp://api.[.]com