Mac系统的Proton恶意软件:卷!土!重!来!

Mac恶意软件OSX.Proton强势回归,这次他们的袭击目标是Eliteima官网上发布的Elmedia Player应用程序副本。到目前为止,没有人知道这个APP是什么时候受到感染的。

事件原委

Proton早在今年3月份就悄悄潜入Apple XProtect中,但当时知道的人不多,大家也没在意。5月份,噩梦来临。主要负责发布十分受欢迎的Handbrake软件的其中一台服务器遭到攻击,一个受Proton感染的Handbrake连续蔓延4天。

时至今日,Eltima软件公司再次遭到了类似的攻击。

上周四上午,ESET的研究人员发现了Elmedia Player中的木马,当天下午Eltima Software的工作人员即作出木马删除的响应。但是,已经有一定未知数量的用户下载了这个恶意程序,受到了Proton的感染。

受感染的Elmedia Player应用程序看起来和真实的没什么不同。因为这个木马程序实际上是一只披着羊皮的狼,用正常的恶意程序作外壳,让用户信服。下面的截图左侧是“干净”的Elmedia Player,右侧则是乔装的恶意程序。

这一点与之前Handbrake感染事件所用的技术存在差异。Handbrake事件中,由于该软件是开源的,所以黑客实际上能够编译一个Handbrake的恶意副本,携带Proton恶意程序,但其它方面表现均无异样。

但在这个案例中,Elmedia Player并非开源,因此黑客们转变策略,打开了真实程序一个未经修改的副本。为了避免Dock(Mac任务栏)上同时出现两个Elmedia Player的APP,该恶意程序在其Info.plist文件中进行了如下设置:

<key>LSUIElement</key><true/>

这就把该恶意程序变成了一个后台进程,实现了表面的隐身,能够暂时避免引起受害者的怀疑。

这次攻击事件中的恶意程序与真实程序唯一的不同点是启动程序时的密码请求。见下图。

恶意程序研究员@noarfromspace发现Eltima Software的Folx程序也受到了感染。因为之前Eltima Software已经作了系统清理,所以无法追踪还有哪些恶意程序也惨遭毒手。

被恶意修改的Eltima程序使用的是“Clifton Grimm”苹果开发人员证书进行的签名。目前该证书已被撤销,这些恶意程序也就无法使用了。

恶意行为

和Handbrake被黑副本留下来的变体Porton.B一样,这个新的变体(Porton.C)也尝试获取含用户密码及其它敏感信息的钥匙串(苹果公司Mac OS中的密码管理系统)和1Password(苹果设备管理网站登录账户等敏感信息的应用),以及含登录凭据的浏览器信息(依赖浏览器记住登录密码的亲们要着实小心)。

相比之下,Proton.C还会收集其它数据。它能够渗透多种加密货币钱包,从中窃取用户的数字货币。另外还能抓取用户访问某些在线敏感资源的信息。

作为感染过程的一部分,Proton.C还会在sudoers文件中添加一行,获取全部的root访问权限:

Defaults !tty_tickets

通常情况下,如果用户获得了终端root权限,该权限只在单个终端窗口中生效,不会影响其它终端系统。但是如果在sudoers文件末尾添加了上面这个命令行,恶意程序只需进行一次认证,root权限就能在所有终端上生效。

我被感染了吗?

我们到现在还不知道Eltima Software系统是什么时候被入侵的。但如果你最近从Eltima Software下载了软件,就要检查一下自己的系统了。本文发布者Malwarebytes LABS有一款能够免费检测并删除Proton.C的产品:Malwarebytes for Mac。

虽说免费,但如果不想以后被强制消费,我们还有一种办法。

在Finder中的“Go(转到)”菜单选择“Go to Folder(转到文件夹)”然后输入以下路径:

/Library/LaunchAgents/com.Eltima.UpdaterAgent.plist

点击Go按钮。如果Finder显示“The folder can’t be found(找不到文件夹)”,这就说明你没有受到该恶意程序的感染,当然这个结论基于你完全没有输错的情况下。这个方法还是会有人为错误的风险存在。

如果你被感染了,首要动作当然是删除系统中Eltima Software的程序。即使装在你电脑上的反病毒软件没有检测出来,你也应该自己清理干净,以防万一。

我该怎么办?

发现自己被感染后,第一件事当然是清理系统。

完成后,你就要开启信息泄露风险修复的漫漫长路了。我们需要修改所有账户的密码。1Password这样的密码管理器能够很大程度地减轻工作量。另外,千万不要在macOS的钥匙串中存储密码管理器的密码!这个主密码的沦陷会让所有的努力功亏一篑。

如果你有电子钱包,马上冻结!如果你的信用卡或其它银行账户信息存储在钥匙串或1Password中,立即联系银行,冻结账户,进行账户流水的监控或密码更改。

如果该恶意软件感染了涉及公司业务的设备,一定要及时通知IT管理人员。黑客会通过这个程序获取部分或全部公司内部的资源,不但会导致该公司关键信息的泄露,如果刚好是一家做软件的企业,还有可能产生新的变体,随着新软件或新版本的发布,殃及更多无辜群众。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-10-28

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

银行木马Trickbot新模块:密码抓取器分析

Trickbot曾经是一个简单的银行木马,已经走过了漫长的道路。随着时间的推移,我们已经看到网络犯罪分子如何继续为此恶意软件添加更多功能。

16130
来自专栏BestSDK

0元买!买!买!支付平台再曝漏洞,JAVA SDK存在XXE攻击|附解决方法

国家信息安全漏洞共享平台(CNVD)收录了第三方支付平台JAVA SDK存在XXE漏洞(CNVD-2018-12508)。综合利用上述漏洞,攻击者可实现商户服务...

13730
来自专栏信安之路

金融黑客的惯用手段 MITB

所谓的 MITB 技术就是 man-in-the-browser 的简称,也就是浏览器中间人攻击方式。我们先来回顾一下经典的中间人攻击方式。

9500
来自专栏FreeBuf

这个APT攻击与东南亚和中国南海问题相关?

最近,一个与东南亚和中国南海问题相关的APT攻击被发现,该APT攻击以包括美国在内的各国政府和公司为目标 。经安全专家分析,该APT攻击所使用的全部工具代码都是...

22270
来自专栏机器人网

PLC使用过程中的经验和技巧

随着社会的发展,plc可编程序控制器在工业生产中得到了广泛的使用,但是其维护检修方法和技巧,很多工程师都不得法,下面为您介绍PLC使用过程的经验和技巧。 1、P...

35870
来自专栏企鹅号快讯

基于 Python 的僵尸网络将 Linux 机器变成挖矿机器人

F5 Networks 的安全研究人员 发现 了一个新的 Linux 加密僵尸网络,并将其命名为”PyCryptoMiner”,它主要的攻击目标是具有公开 SS...

230100
来自专栏FreeBuf

CODESYS WebVisu产品出现严重漏洞,影响100多款ICS系统

根据外媒 Securitweek 报道,Istury IOT 的朱文哲(音)发现 3S-Smart Software Solutions 的 CODESYS W...

26150
来自专栏Python中文社区

基于 Python 的僵尸网络将 Linux 机器变成挖矿机器人

F5 Networks 的安全研究人员发现了一个新的 Linux 加密僵尸网络,并将其命名为"PyCryptoMiner",它主要的攻击目标是具有公开 SSH...

33950
来自专栏企鹅号快讯

假日出行必备:专家解析如何在公共Wi-Fi网络下保护个人隐私

“用指尖改变世界” ? 对于外出的我们来说,公共Wi-Fi网络在很多方面都是很棒的。因为它是免费的,能够节省我们很多的移动数据流量,并且提供更快的下载速度。 然...

21650
来自专栏FreeBuf

地下暗流系列 |“免费雇佣”数十万用户,TigerEyeing病毒云控推广上千应用

一、概要 近期,腾讯反诈骗实验室和移动安全实验室通过自研AI引擎—TRP,从海量样本中监测到一个后门病毒家族TigerEyeing,据腾讯反诈骗实验室和移动安全...

231100

扫码关注云+社区

领取腾讯云代金券