开源 DarthMiner 恶意软件瞄准Adobe盗版者与Cryptominer


根据Malwarebytes实验室所报告,使用开源XMRig矿工和EmPyre后门实用程序来攻击软件盗版者已经观察到一种稍微奇怪的恶意软件毒株。

这款OSX.DarthMiner恶意软件被设计成模仿用来盗版各种Adobe应用程序的Adobe Zii工具,尽管它没有复制自己的图标,而是绑定了一个引人注目的Automator小应用程序图标,这有可能让许多人产生错觉。

尽管恶意软件包含的代码可能通过mitmproxy根证书拦截加密通信量,但OSX.DarthMiner的作者对此进行了注释,决定只将其用作基于Python的EmPyre后门的丢弃程序。

在感染的下一步中,在受感染的系统上下载并启动能够运行任意命令的后门脚本之后,恶意软件确保在重新启动之间在名为com.proxy. initializer .plist的启动代理的帮助下获得持久性。

接下来,将XMRig加密器与配置文件一起下载到/Users/Shared/文件夹中,并设置一个名为com.apple.rig.plist的新启动代理,以确保加密器始终使用恶意软件的作者挖掘配置。

开源 DarthMiner 恶意软件瞄准Adobe盗版者与Cryptominer

除了密码学之外,DarthMiner还可能有其他类似恶意软件的行为

即使是OSX.DarthMiner恶意软件乍一看似乎是无害的,因为恶意的密码窃取者最多只能通过占用所有的CPU和GPU资源来减慢受害者的Mac电脑的速度。,但它还远远不止于此。

Malwarebytes的Thomas Reed补充称:“要记住,cryptominer是通过后门发出的命令安装的,过去很可能还有其他任意命令通过后门发送给受感染的mac电脑。”

此外,“不可能确切地知道这种恶意软件可能对受感染的系统造成了什么损害。仅仅因为我们只观察了挖掘采矿行为并不意味着它从未做过其他事情。”

在恶意任务中,OSX.DarthMiner可以让入侵者秘密地在后台运行,数据收集和泄漏可能是最不危险的。

linuxboy的RSS地址:https://www.linuxboy.net/rssFeed.aspx

本文永久更新链接地址:https://www.linuxboy.net/Linux/2018-12/155740.htm 

相关内容