macOS 挖矿 OSX伪装者 黑产
【微步在线报告】OSX 伪装者挖矿团伙分析报告
微步情报局 2019-03-07 16:33:09 1606人浏览


TAG
:OSX 伪装者、macOS、黑产、挖矿、篡改安装包、破解版、dmg、私有矿池

TLP白(报告转发及使用不受限制)

日期:2018-09-07

更新:2018-09-29

概要

2018 年 9 月,微步在线监测到一个专门篡改主流 MAC 应用的 dmg 软件安装包并植入挖矿木马的黑产 团伙——OSX 伪装者,该团伙利用合法应用的破解版诱导用户下载安装,并借助各大软件下载站传播,针对此情分析总结如下:

➢  通过微步在线的威胁情报云对相关资产监测发现,OSX 伪装者至少自 2018 年 6 月份开始注册域名 资产,并于 7 月、8 月大肆推广恶意软件,影响范围不断扩大。

➢  目前发现网络中流通的恶意应用至少包括 NTFS For Mac、office for mac 以及 lol for mac 等,且通过华军软件园、9553 下载站、94afx(就是爱分享)等下载平台进行传播。

➢  相关软件安装同时,会将挖矿植入木马受害者主机,该木马则通过连接攻击者自建的私有矿池实施挖取门罗币的恶意活动。

➢  分析发现,该团伙用于存放木马文件及私有矿池的服务器主要位于香港、韩国两地,域名则在GoDaddy 上注册,反侦察能力较强。

➢  我们已经第一时间将相关情报下发,威胁情报检测平台(TDP)、威胁情报管理平台(TIP)、威 胁情报订阅及 API 均已支持该事件的检测,如需微步在线协助检测,请联系我们contactus@threatbook.cn。

详情

2018 年 9 月,微步在线监测发现国内知名下载平台“华军软件园”中提供的 NTFS For Mac 安装文件包含 恶意代码,下载安装该程序后会引入针对 macOS 系统的挖矿木马。该软件于 2018 年 8 月 23 日上架,下载 页 面 地 址 为 www.onlinedown.net/soft/290744.htm , 文 件 名 为 ntfsformac15.0.911.dmg , md5 值 为fb673349f5fb9f7b3fbcf7a947997ff9。

Clipboard Image.png


样本分析

ntfsformac15.0.911.dmg 的安装界面如下,安装完成后,重启系统后即启动挖矿机进程。

1.ntfs4mac 安装后,除执行正常软件流程外,从 wodaywo.com下载wodaywo.png(命令脚本)、ssl.zip(挖矿工具)等恶意文件
2. ssl.zip 压缩包包含下列文件:
~/Library/LaunchAgents/com.apple.Yahoo.plist (用于开机自启动)
~/Library/LaunchAgents/com.apple.Google.plist(开机自启动文件) 
~/Library/Safari/ssl.plist(门罗币挖矿机可执行程序) ~/Library/Safari/pools.txt(矿池配置)
~/Library/Safari/cpu.txt cpu(限制配置) ~/Library/Safari/config.txt(钱包地址配置)
3. 恶意程序植入系统后,每次开机会通过 osascript 来执行上述 com.apple.yahoo.plist 的 AppleScript 脚 本,并进一步启动挖矿机程序 ssl.plist。

Clipboard Image.png

4.ssl.plist 系挖矿主程序,支持 17 种虚拟货币的挖掘,包括 aeon、bbscoin、莱特币、以太坊、门罗币, 卡波币等,如下图所示:

Clipboard Image.png

5. pool.txt 为矿池配置文件,矿池地址为私有地址 fadayfa.com,使用端口为 3333。

Clipboard Image.png

6.Config.txt 内容如下,设置超时时间。

Clipboard Image.png

7.cpu.txt 配使用记录了 cpu 的使用数,一般 Mac 电脑为 4 核,该程序只使用了 3 核。

Clipboard Image.png

8.以下是挖矿机启动时读取配置文件并且连接矿池的过程,可以看到矿机为 xmr-stak 2.4.3 版本,设 置捐赠等级为 0,并且连接到配置矿池 fadayfa.com:3333 端口

Clipboard Image.png

关联分析

排查发现,除华军软件园外,该安装程序至少还在天启软件世界(soimac.com)、9553 下载(9553.com)、就是爱分享(94afx.com)以及名为 NTFS For Mac(ntfsformac.cn)4等其他多个网站中出现。

Clipboard Image.png

有趣的是,上述关联出所有网站的下载链接均为 http://wm.makeding.com/iclk/?zoneid=25489,而点击下 载后则跳转 xiazai.ntfsformac.cn 进行实际的下载行为。

Clipboard Image.png

通过域名注册信息发现,ntfsformac.cn 和 makeding.com 同属于国内某科技公司所有。

Clipboard Image.pngClipboard Image.png

进一步关联发现,除上文分析的 NTFS For Mac 外,近期网上还出现了同样的 macOS 被植入挖矿木马 的事件:

1、2018 年 8 月,有网民发现因下载所谓 Mac 版 LOL 私服程序导致的机器被植入挖矿木马5,木马使用 的私有矿池为 ondayon.com。

Clipboard Image.png

2、2018 年 9 月 21 日,360 发布文章6称发现 macOS 下的挖矿程序,此次安装程序伪装成 Office For Mac, 使用的私有矿池为 funningx.com。

Clipboard Image.png

对上述事件排查发现,这三款安装包释放的挖矿程序基本一致,且流程相同,判断为同一团伙所为, 根据该事件特点我们将其命名为“OSX 伪装者”。再通过域名、IP 等特点关联发现,该团伙还注册使用过fadayfa.com、safaf4ghdn.space 等域名用于此次恶意活动,目前已掌握该团伙主要资产如下表所示:

image.png

image.png

根据目前掌握情况发现,OSX 伪装者至少正通过 ntfs4mac、office4mac、lol4mac 这三款软件传播 macOS系统的挖矿木马,并通过各类渠道进行推广,推测其将制作更多此类恶意软件非法牟利,危害程度较大。 建议 Mac 用户在下载应用程序时务必通过官网渠道,切勿轻信所谓的“破解版”、“免费版”,防止被黑客利用。
匿名用户 2019-04-04 16:48:49 回复
厉害
匿名用户 2019-03-07 17:44:44 回复
大名鼎鼎的苏州思杰马克丁