伪造安全公司博客钓鱼,攻击Mac又有“新姿势”
安全研究人员@noarfromspace发现OSX.Proton恶意软件的新变种通过一种新的传播方式进行传播,即伪造安全公司Symantec的博客,诱使用户下载恶意软件,然后钓鱼获取用户密码,最终达到窃取用户密码等信息的目的。
感染方法
恶意软件OSX.Proton伪造了一个Symantec blog站点(伪造的博客地址为symantecblog.com),该站点和真实的Symantec blog站点相似度极高,甚至还镜像了真实Symantec blog的内容。该伪造的博客站点的注册信息很具有迷惑性,使用了和真实Symantec站点相同的name和address,但是注册的邮箱地址彻底暴露了—connelcristopher@protonmail.com。
该站点签名使用的证书,是Comodo合法的SSL证书,但不是Symantec。
伪造的blog站点有一条公告说,2014年的恶意软件CoinThief有了新变种。据调查,这是一个“故事”,事实上并没有这样的变种存在。这条假的公告诱使用户下载Symantec Malware Detector,可以检测和清除该恶意软件。事实上并没有这样的恶意软件和检测工具存在。
但是,虚假公告的链接在twitter上传播很快,一些传播的帐号也是伪造的,但是另外一些看起来是合法的。Proton恶意软件的首要目的是窃取密码,因此可以诱使那些以为这个公共为真的人进行下载。下载安装运行Symantec Malware Detector的用户会被该恶意软件感染。
恶意软件行为分析
在运行时,Symantec Malware Detector只有一个非常简单的窗口。
点击check的结果就会弹窗要求输入admin密码(这是恶意程序伪造的系统弹窗,用户会以为是Mac系统的弹窗,因为Mac用户会经常被要求输入密码):
在提供了admin密码之后,恶意应用会展示一个正在扫描电脑的进度条:
此时已经安装成功了Proton恶意软件了。
然后,恶意软件就会开始获取信息,包括以明文方式记录用户的admin密码,和其他PII信息到隐藏文件中:
[...]
<metadata>
<date>2017-11-19T20:29:19.801Z</date>
<serial>*********</serial>
<username>test</username>
<fullname>test</fullname>
<hostname>test%E2%80%99s Mac</hostname>
<password>testpw</password>
<os_version>10.12.6</os_version>
<os_locale>en_US</os_locale>
</metadata>
[...]该恶意软件会获取和泄露keychain文件、浏览器自动填充数据、密码管理器内容、GPG密码等。因为恶意软件已经获取了用户的密码,黑客就可以解密keychain文件了。
IOC
Symantec Malware Detector是一个彻底的伪造的名字,如果你看到这样的应用在电脑中的任何文件夹中,那么应该删掉它。如果不确定是不是恶意软件,那么可以检查代码的签名。在terminal中输入下面的代码:
codesign -dvvv "path/to/Symantec Malware Detector.app"该恶意应用的签名是Sverre Huseby,使用的是teamid为E224M7K47W的证书。任何该证书签名的软件都应该是恶意的。
一旦恶意dropper应用运行,在系统中会出现下面的路径:
/Library/LaunchAgents/com.apple.xpcd.plist
/Library/.cachedir/
/Library/.random//Library/.random/目录是Proto的可执行文件。/Library/.cachedir/保存的是泄露的数据和即将泄露的数据。除了这些文件,/private/etc/sudoers文件也被修改了,加入了下面的一行:
Defaults !tty_tickets发现之后应该把这行从sudoers文件中删掉。
幸运的是,Apple发现了该恶意软件并且吊销了对该软件签名的证书。这会防止以后Symantec Malware Detector继续感染设备,但是不能对已经感染的设备起到任何帮助作用。
结论
事实证明,Mac系统已经没有我们想象的那么安全了,针对苹果系统的钓鱼攻击也越来越多,尤其是弹窗要求输入appleID和密码的,如,iOS隐私安全之通过popup向用户索取Apple ID和密码,苹果用户在日常使用中应该多加注意。
*本文原创作者:ang010ela,参考malwarebytes,禁止转载。
官方 