A REVIEW OF MALWARE AFFECTING MACOS IN 2018

在 2018 年的最後一天，讓我們來回顧一下 macOS 安全狀態。

2018年是 MacOS RAT 的一年，特別有 Empyre 作為一路領先多種惡意軟件變體的首選開發框架。 EvilOSX，EvilEgg 和基於Java 的 RAT 也一起亮相。今年加密貨幣的惡意軟體在新聞中佔到量的也很大，因為糟糕的演員既針對比特幣的錢包，又利用加密貨幣實用程序來感染毫無戒心的用戶。 Cryptojacking 仍然在增加，但主要局限於持續存在的 macOS 廣告軟體問題。

Malware in Development
這一年由 OSX.MaMi 開始，一個可疑的舊版 Windows 惡意軟體 DNSUnlocker 的 macOS 變種。 Mami 改變 macOS 的SystemConfiguration.plist 以劫持受害者的​​DNS服務器。該惡意軟體包含用於遠程下載和上傳文件，記錄滑鼠點擊，截屏和嘗試權限提升的邏輯。

同月，Java 基礎 的 CrossRAT 被發現作為 Dark Caracel APT 工具包的一部分，該組織代表黎巴嫩政府為了國家安全目的收集攻擊性網絡能力情報。  CrossRAT 是一個多平台監控工具，它通過自身副本在 macOS 上寫入〜/ Library / mediamgrs.jar 並安裝用戶 LaunchAgent 來實現持久性。

有趣的是，或者令人擔憂的是，MaMi 和 CrossRAT 都有版本號，表明它們處於早期開發狀態，未來看到這兩種的進階版本也就不足為奇了。

Lazarus APT
在今年年初發生的兩項重要發現之後，惡意軟體方面有點相對的安靜，直到4月份才發布了一個名為 CelasTradePro 的加密貨幣交易應用程序。該惡意軟體歸屬於與朝鮮有關的 APT 小組 Lazarus，由三部分組成。作為 CelasTradePro.app 中的更新程式植入的木馬下載程序，具有標記 “com.celastradepro.plist” 和有效負載的 LaunchDaemon，最初被放在 / var / zdiffsec 處。 

目前還不清楚這種被稱為 OSX.AppleJeus 的惡意軟體是否是軟體供應鏈攻擊，或者 CelasTradePro.app 是專門用於感染加密貨幣交易所。在任何一種情況下，該應用程式都有一個有效的開發人員簽名，因此很容易繞過 Apple 的內置安全技術。

WindShift APT
雖然是在4月底創造的，AppleJeus 一直到 8月 才被發現，而那個月也出現了另一個針對 Mac 平台的 APT 組織，WindShift APT 的消息。雖然早在去年 1 月就被認為首次針對 macOS，但 WindShift 似乎已經在2018年開始活動，因為這個數字（感謝 DarkMatter）顯示：​

WindTail.A 針對受害者電腦上具有以下檔類的文件：.txt .pdf .doc .docx .ppt .pptx .db .rtf .xls .xlsx 並使用 LoginItem 進行持久化。後門 WindTape 獲取當前桌面的螢幕截圖，將其發送到 C2 伺服器並刪除本地副本。並每5秒重複一次這個過程。

感染此特定惡意軟體的關鍵是在默認情況下 Safari 選項允許 .zip 文件在下載時自動取消歸檔。此功能意味著 macOS 將自動註冊在惡意軟體中定義的自定 URL，這是有助於進一步感染的。一般情況下，用戶在 Safari 的選項中取消選中以下設置總是明智的：

The Weakest Links?
7月，OSX.Dummy 出現在一些挖礦聊天群組中。因為認為這是來自可靠的來源，攻擊者讓受害者運行具有提升權限的工具，。詐騙的也不必太努力，因為他們提供惡意軟體作為受害者自己尋求幫助問題的答案。該工具安裝了一個 bash 腳本，該腳本利用 python 打開 reverse shell：

OSX.Dummy 之所以如此命名，是因為它接受到了受害者的大量的同意，並成功地破壞了目標。在這方面，至少，它與下一個在2018年出現的惡意軟體的極端相反。九月看到了許多人認為最不可能的威脅來源：Apple 自己的 App Store。從 Mac App Store 下載的軟體是 已被 Apple 的 Gatekeeper 信任的，因此沒有額外防禦的用戶在未經許可的情況下，完全不受一系列批准的應用程式洩露個資的保護就不足為奇了。APP 程式包括 Adware Doctor，Open Any Files，Dr. AntiVirus 和 Dr. Cleaner。蘋果在9月份最終將所有這些商品從商店中移除，但至少有兩名違規者已與 Apple 報告過，並未採取任何行動。

​The Other Side of the Coin
10月份，CoinTicker 進入戰場，通過挖礦應用程式植入木馬後門。結合 open source 利用工具，EvilOSX 和 EggShell，CoinTicker 似乎是一個簡單的狀態工作表程式，顯示各種加密貨幣的當前交易價格。該應用程序功能齊全，但同時嘗試通過reverse shell 允許攻擊。

" 感謝 "  開發工具的性質，攻擊者可以有多種選擇功能。可以第一優先攻擊的事情之一就是竊取受害者的虛擬貨幣錢包。

針對虛擬貨幣的用戶攻擊並未在 2018 年停止。去年 11 月，Exodus cryptowallet 的用戶成為電子郵件網絡釣魚活動的目標。攻擊者曾希望安裝基於 RealTimeSpy 商業間諜軟體的惡意軟體。雖然沒有任何關於 RealTimeSpy 開發人員參與的暗示，但毫無疑問，此活動背後的人希望在受害者的主機上安裝 RealTimeSpy 版本。假設目標是竊取比特幣錢包是合理的，但是這個 macOS 間諜軟體還可以通過螢幕截圖和鍵盤記錄來竊取其他個資。此外，該計劃還能夠捕獲社交網絡活動和網站訪問。

Festive Crackers

這一年在繁忙的12月結束，在一周之內發現了一連串的三次惡意軟體（有相關性）。首先是Adobe CC的破解應用程式，OSX.DarthMiner，利用 Automator 工作流程通過 Empyre 後端安裝加密器。 OSX.LamePyre 是遊戲玩家的 Discord 語音和聊天應用程式的假冒版，也使用了類似的 Automator 工作流程和 Empyre 後門程式。 LamePyre 的主要功能似乎是採用受害者桌面的常規螢幕截圖並將其上傳到 C2 服務器。

目前尚不清楚這兩個相關的木馬是由同一攻擊者創作的，或是最近在 DarkNet 上交易的一些通用代碼。我們也注意到假的Discord 應用程式似乎已經俄語本地化並包含一些俄文。

當然，我們無法說出這些線索是故意留下來誤導還是粗心的結果。無論哪種方式，我們都不會驚訝看到這些 Automator 基礎的木馬程式在 2019年 新年之前或之後再次出現。

最後，OSX.BadWord 通過利用 Microsoft Word for Mac 沙箱逃離並提供 Meterpreter payload 來提供不同類型的威脅。襲擊者似乎已經在八月份已首次介紹了武器化的概念驗證。與 Windows 上類似的基於 Word 的攻擊一樣，它利用 VBA marcro 來執行代碼並感染用戶。 OSX.BadWord 似乎是通過電子郵件發送給 Quidax 加密貨幣平台的員工，邀請他們為 “BitCoin Magazine UK” 捐獻。

Also Ran
除了完全的惡意軟體之外，我們今年也已看到許多廣告軟體安裝程式充當了密碼管理器的木馬程式，例如 PPMiner，CreativeUpdate 和 SearchPageInstaller。

廣告軟體仍然是一個問題，特別是當我們看到廣告軟體開發人員越來越擴展他們的技術範圍並開始越線進入類似惡意軟體的行為時。

Summary
總結一下，2018 年 APT 針對 macOS 攻擊增加以及意圖利用加密技術或針對加密貨幣參與者（包括員工和貨幣交易）的犯罪分子。像 Empyre 這樣的 open-source 開發工具包在過去12個月中一直是 macOS 惡意軟體的首選工具。我們預計這樣的趨勢將持續到 2019 年，而一如往常，在 SentinelOne，我們會持續發布最新消息並使我們的用戶受到保護。

祝大家有一個 "安全" 的新年！HAPPY NEW YEAR!!

原文