實(shí)驗(yàn)室成員上周發(fā)現(xiàn)了一個(gè)新的軟件，它結(jié)合了兩種不同的用于惡意目的的開(kāi)源工具——一個(gè)后門(mén)和一個(gè) XMRig 礦工。

惡意 軟件 通過(guò)名為 Adob??e Zii 的應(yīng)用程序傳播。Adobe Zii 是一種軟件，它幫助盜版各種Adobe 應(yīng)用程序，但被惡意軟件 利用的Adobe Zii 實(shí)際上并不是真正的Adobe Zii。

從圖中可以看出，左邊的Adobe Zii軟件使用了Adobe Cloud的標(biāo)志，（標(biāo)志是正版軟件的重要標(biāo)志，小偷不會(huì)錯(cuò)過(guò)這部分）但是惡意 軟件 安裝程序使用通用圖標(biāo)。

行為

軟件 的本質(zhì)可以通過(guò)打開(kāi)偽造的 Adob??e Zii 應(yīng)用程序來(lái)發(fā)現(xiàn)，因?yàn)樗皇沁\(yùn)行一個(gè) shell 腳本：

該腳本用于下載 并執(zhí)行腳本，然后下載 并運(yùn)行名為.app 的應(yīng)用程序。

.app 很簡(jiǎn)單。它似乎只是 Adob??e Zii 的一個(gè)版本，最有可能使惡意 軟件 看起來(lái)實(shí)際上是“合法的”。（當(dāng)然，這并不意味著 軟件 盜版是合法的，但它意味著惡意 軟件 試圖看起來(lái)像是在做用戶(hù)認(rèn)為它應(yīng)該做的事情。）

腳本呢？雖然被混淆了，但它很容易被去混淆，允許研究人員揭示以下腳本：

（請(qǐng)點(diǎn)擊查看腳本詳情）

該腳本的第一個(gè)任務(wù)是尋找，是一個(gè)基于主機(jī)的應(yīng)用程序防火墻，用于mac 系統(tǒng)，它通過(guò)Apple 的標(biāo)準(zhǔn)應(yīng)用程序編程接口（API）注冊(cè)內(nèi)核擴(kuò)展來(lái)控制網(wǎng)絡(luò)流量，旨在限制出站流量以保護(hù)隱私。所以如果它存在，惡意的 軟件 將被禁止。

此腳本打開(kāi)一個(gè)與后端的連接，該后端能夠?qū)⑷我饷钔扑偷绞芨腥镜?mac。一旦后門(mén)被打開(kāi)，它會(huì)收到一個(gè)命令來(lái) 下載 將以下腳本發(fā)送到 //tmp/.sh 并執(zhí)行它：

此腳本 下載 并安裝惡意 軟件 的其他組件。創(chuàng)建了一個(gè)名為 com.proxy..plist 的啟動(dòng)代理盜版adobe軟件會(huì)導(dǎo)致mac電腦硬件，通過(guò)運(yùn)行與前面提到的完全相同的混淆腳本來(lái)繼續(xù)打開(kāi)后門(mén)。

該腳本還將 XMRig 和配置文件 下載 放入 /Users// 文件夾并設(shè)置名為 com.apple.rig.plist 的啟動(dòng)代理，以使 XMRig 進(jìn)程在該配置處于活動(dòng)狀態(tài)時(shí)運(yùn)行。（“com.apple”這個(gè)名字是一個(gè)直接的危險(xiǎn)信號(hào)，這是發(fā)現(xiàn)這個(gè)惡意軟件的根本原因）

有趣的是，腳本中有代碼用于 下載 并安裝與 軟件 關(guān)聯(lián)的根證書(shū)，它能夠攔截所有網(wǎng)絡(luò)流量，包括（在證書(shū)的幫助下）加密的“https” "流。但是代碼被注釋掉了，說(shuō)明沒(méi)有激活。

從表面上看，這個(gè)惡意的 軟件 似乎是無(wú)害的。由于一個(gè)進(jìn)程占用了所有 CPU/GPU，它通常只會(huì)減慢計(jì)算機(jī)的速度。

然而，這不僅僅是一個(gè)密碼系統(tǒng)。需要注意的是，它是通過(guò)后門(mén)發(fā)出的命令安裝的盜版adobe軟件會(huì)導(dǎo)致mac電腦硬件，而且過(guò)去很可能還有其他任意命令被后門(mén)發(fā)送給被感染的mac。無(wú)法確切知道這個(gè)惡意 軟件 對(duì)受感染系統(tǒng)造成的損害有多大。雖然研究人員只觀察了采礦行為，但這并不意味著它從未做過(guò)任何其他事情。

啟示

檢測(cè)到這個(gè)針對(duì) OSX 的惡意 軟件。如果用戶(hù)的設(shè)備被感染，雖然不知道惡意 軟件 活動(dòng)的所有痕跡，但用戶(hù)的文件或密碼很可能已被成功竊取。這給廣大用戶(hù)上了一堂重要的課：遠(yuǎn)離盜版相關(guān)的東西可以避免很多風(fēng)險(xiǎn)，其成本可能遠(yuǎn)高于目標(biāo)軟件正版價(jià)格。