伪造安全公司博客钓鱼,攻击Mac又有“新姿势”

摘要

安全研究人员@noarfromspace发现OSX.Proton恶意软件的新变种通过一种新的传播方式进行传播,即伪造安全公司Symantec的博客,诱使用户下载恶意软件,然后钓鱼获取用户密码,最终达到窃取用户密码等信息的目的。

安全研究人员@noarfromspace发现OSX.Proton恶意软件的新变种通过一种新的传播方式进行传播,即伪造安全公司Symantec的博客,诱使用户下载恶意软件,然后钓鱼获取用户密码,最终达到窃取用户密码等信息的目的。

伪造安全公司博客钓鱼,攻击Mac又有“新姿势”

感染方法

恶意软件OSX.Proton伪造了一个Symantec blog站点(伪造的博客地址为symantecblog.com),该站点和真实的Symantec blog站点相似度极高,甚至还镜像了真实Symantec blog的内容。该伪造的博客站点的注册信息很具有迷惑性,使用了和真实Symantec站点相同的name和address,但是注册的邮箱地址彻底暴露了—connelcristopher@protonmail.com。

伪造安全公司博客钓鱼,攻击Mac又有“新姿势”

该站点签名使用的证书,是Comodo合法的SSL证书,但不是Symantec。

伪造安全公司博客钓鱼,攻击Mac又有“新姿势”

伪造的blog站点有一条公告说,2014年的恶意软件CoinThief有了新变种。据调查,这是一个“故事”,事实上并没有这样的变种存在。这条假的公告诱使用户下载Symantec Malware Detector,可以检测和清除该恶意软件。事实上并没有这样的恶意软件和检测工具存在。

但是,虚假公告的链接在twitter上传播很快,一些传播的帐号也是伪造的,但是另外一些看起来是合法的。Proton恶意软件的首要目的是窃取密码,因此可以诱使那些以为这个公共为真的人进行下载。下载安装运行Symantec Malware Detector的用户会被该恶意软件感染。

恶意软件行为分析

在运行时,Symantec Malware Detector只有一个非常简单的窗口。

伪造安全公司博客钓鱼,攻击Mac又有“新姿势”

点击check的结果就会弹窗要求输入admin密码(这是恶意程序伪造的系统弹窗,用户会以为是Mac系统的弹窗,因为Mac用户会经常被要求输入密码):

伪造安全公司博客钓鱼,攻击Mac又有“新姿势”

在提供了admin密码之后,恶意应用会展示一个正在扫描电脑的进度条:

伪造安全公司博客钓鱼,攻击Mac又有“新姿势”

此时已经安装成功了Proton恶意软件了。

然后,恶意软件就会开始获取信息,包括以明文方式记录用户的admin密码,和其他PII信息到隐藏文件中:

[...] <metadata>  <date>2017-11-19T20:29:19.801Z</date>  <serial>*********</serial>  <username>test</username>  <fullname>test</fullname>  <hostname>test%E2%80%99s Mac</hostname>  <password>testpw</password>  <os_version>10.12.6</os_version>  <os_locale>en_US</os_locale> </metadata> [...]

该恶意软件会获取和泄露keychain文件、浏览器自动填充数据、密码管理器内容、GPG密码等。因为恶意软件已经获取了用户的密码,黑客就可以解密keychain文件了。

IOC

Symantec Malware Detector是一个彻底的伪造的名字,如果你看到这样的应用在电脑中的任何文件夹中,那么应该删掉它。如果不确定是不是恶意软件,那么可以检查代码的签名。在terminal中输入下面的代码:

codesign -dvvv "path/to/Symantec Malware Detector.app"

该恶意应用的签名是Sverre Huseby,使用的是teamid为E224M7K47W的证书。任何该证书签名的软件都应该是恶意的。

一旦恶意dropper应用运行,在系统中会出现下面的路径:

/Library/LaunchAgents/com.apple.xpcd.plist /Library/.cachedir/ /Library/.random/

/Library/.random/目录是Proto的可执行文件。/Library/.cachedir/保存的是泄露的数据和即将泄露的数据。除了这些文件,/private/etc/sudoers文件也被修改了,加入了下面的一行:

Defaults !tty_tickets

发现之后应该把这行从sudoers文件中删掉。

幸运的是,Apple发现了该恶意软件并且吊销了对该软件签名的证书。这会防止以后Symantec Malware Detector继续感染设备,但是不能对已经感染的设备起到任何帮助作用。

结论

事实证明,Mac系统已经没有我们想象的那么安全了,针对苹果系统的钓鱼攻击也越来越多,尤其是弹窗要求输入appleID和密码的,如,iOS隐私安全之通过popup向用户索取Apple ID和密码,苹果用户在日常使用中应该多加注意。 

*本文作者:ang010ela,参考malwarebytes,转载请注明来自FreeBuf.COM

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: