Uptycs已经确定了今年使用Telegram的三个基于Windows的恶意软件家族,包括Titan Stealer, Parallax RAT,和HookSpoofer。攻击者越来越多地转向它,特别是对于窃取者的命令和控制。
现在,Uptycs威胁研究团队发现了一个macOS窃取程序,该窃取程序还通过Telegram控制其操作。我们称之为MacStealer。
分发MacStealer的威胁行为者是Uptycs威胁情报团队在我们的暗网狩猎中发现的。窃取者可以从受害者的浏览器中提取文档、cookie 和登录信息。它会影响搭载英特尔 M1 和 M2 CPU 的 Catalina 和后续 macOS 版本。
图 1:暗网上的威胁参与者广告
窃取程序具有以下功能:
图 2:威胁行为者以 100 美元/构建的价格出售 MacStealer
图 3 显示了 MacStealer 的操作行为。
图3:MacStealer恶意软件操作[点击放大]
如图 4 所示,Mach-O 文件未进行数字签名。
图 4:未签名的 Mach-O 文件
Mach-O文件是从Python代码编译的(图5和图6)。
图 5:Python 库依赖项
Figure 6: Python API imports
The bad actor uses a .DMG file to spread the malware. After a user executes the file, it opens a fake password prompt to gather passwords using the following command line.
osascript -e 显示对话框“MacOS 想要访问系统偏好设置”,标题为“系统偏好设置”,图标警告默认答案“”,带有隐藏答案
图 7:假密码提示
用户输入其登录凭据后,窃取程序将按照MacStealer的功能部分中的说明收集数据。它将其存储在以下系统目录中。
“/var/folder/{name}/{randomname}/T/{randomname}/files/{different folder}”
然后,窃取者对数据进行压缩,并使用 Python 用户代理请求通过 POST 请求将其发送到 C2(图 8 和图 9)。它会在随后的清理操作期间从受害者的系统中删除数据和 ZIP 文件。
图 8:窃取者收集数据 [单击放大]
图 9:发送 POST 请求
图 10:发送存档文件
同时,MacStealer将选定的信息传输到列出的电报频道。
图 11:将基本信息发送到电报公共频道
一旦将编译的 ZIP 文件发送到 C2,后者就会与威胁参与者的个人 Telegram 机器人共享该文件(图 12)。
图 12:将 ZIP 文件发送到私有电报机器人
图 13 显示了泄露的文件。
图 13:泄露的 ZIP 文件内容
Uptycs EDR - 配备YARA进程扫描,高级检测以及关联进程文件,进程和套接字事件的能力 - 成功检测MacStealer执行的许多策略,技术和程序(TTP)。
此外,Uptycs EDR上下文检测提供有关检测到的恶意软件的其他详细信息。您可以导航到检测警报的工具包数据部分,然后单击名称以了解其行为(图 14)。
图 14:MacStealer 的 Uptycs 事件检测
名称/类型 | 指示器 |
杂草.dmg | 9b17aee4c8a5c6e069fbb123578410c0a7f44b438a4c988be2b65ab4296cff5e |
马赫-O | 6a4f8b65a568a779801b72bce215036bea298e2c08ec54906bb3ebbe5c16c712 |
C2 网址 | hxxp[:]//mac[.]破解23[.]站点/上传日志 |
C2 域 | 苹果[.]破解23[.]网站 |
C2 知识产权 | 89[.]116[.]236[.]26 |
电报 1 | hxxps[:]//t[.]我/macos_stealer_2023 |
电报 2 | hxxps[:]//t[.]我/macos_logsbot |
通过查看VirusTotal图表,Uptycs研究小组得出结论,最近有更多的MacStealer样本正在传播。每个文件使用相同的域(mac[.]破解23[.]网站)。
图 15:macOS 窃取程序的病毒总数图
SHA256 哈希 |
e51416f12f8c60e7593bef8b9fc55e04990aa047ad7e8abc22b511e7eb7586f6 |
1b5ef101ac0b3c0c98874546ec4277e6a926c36733ab824cece9212373559818 |
f14dd83e60b8ca6d52e667ed85adafa9b849df33e428b005b05b7c6732de526a |
977cf1a74467e72b7fd9434bebd9e171a45b520ade960771b31f3bd5e9e4a5aa |
5031aa79912fb23bcbe2209e015974fccb4b9e9334a9e8801833f07bd3a5ccfc |
15d1afca780e2ea6ffec8c4862a3401e003b5e79ce5f9076b4eea4ab599bc4ce |
821ecdae151ed78eb4792d40a7787127927900a763f3249b31f37d7b67b5e1e5 |
DF71b5c99052b63de167f9c22b3cf6ded513ed6d1e1c74eff7af8cf9e4692714 |
1153fca0b395b3f219a6ec7ecfc33f522e7b8fc6676ecb1e40d1827f43ad22be |
e01eec798a326a1e0beb767cdd0f185e19361871de82e23568042e9fc6128bb6 |
acef9f3f215335462e2e2e4bacbe6c52e48e764e7174fe46966e29902f6a1890 |
d61666b49ef700cbd59c744bf5fca2e850be55a52f415102cf3ea1c1c2db18d4 |
2abc380ad22c47db0035df1f0e6e00a7fabcb5d4afd913e2474478ea11ea6a63 |
7eed5a8f486aaba3948307f165a636df83857ab6cea21b8fd5e0ff758bb134b3 |
61f3cd0a7c8191745080aa7b2e0695c3a57327f1f226d9fc7a4be3cee14a2375 |
1b0684ab02071f8bb03967866596efcea92a48e49f8b1013a6301653f7687e74 |
根据恶意软件分销商的暗网论坛帖子,他们将向MacStealer添加这些功能更新(图16)。
图 16:MacStealer 的计划功能更新
Uptycs威胁研究团队进行了详细的调查,以更好地了解参与者模块的功能和目标。我们发现分销商拥有来自其他威胁行为者的MacStealer批量生产订单,因此恶意软件可能会更广泛地传播。
本文的摘要涵盖了这个新窃取者的操作,包括其攻击杀伤链中使用的实用程序。值得注意的是,这些恶意软件程序会影响运行最新版本 macOS 的受害者计算机。一个歹徒使用Telegram作为命令和控制平台来泄露受害者的敏感数据。
Uptycs建议采取以下措施和行动:
翻译自 https://www.uptycs.com/blog/macstealer-command-and-control-c2-malware
页面更新:2024-03-22
本站资料均由网友自行发布提供,仅用于学习交流。如有版权问题,请与我联系,QQ:4156828
© CopyRight 2020-2024 All Rights Reserved. Powered By 71396.com 闽ICP备11008920号-4
闽公网安备35020302034903号