网络安全公司Malwarebytes在本周一(10月29)发布的消息称,其论坛成员1vladimir注意到一款名为“Coin Ticker”的Mac应用程序在上周末表现出了一些可疑的行为。Malwarebytes的Mac&Mobile总监Thomas Reed在经过分析后发现,它似乎隐蔽地安装了两个完全不同的后门。
从表面上看,Coin Ticker似乎是一款合法的Mac应用程序,可以帮用户实时监控各种加密货币(包括比特币、以太坊和门罗币)的市场价格。在安装完成之后,会在菜单栏中显示一个图标,提供有关加密货币当前价格的信息。
然而,该应用程序被Thomas Reed证实会在运行时从一个 Github存储库下载并安装两个适用于macOS的自定义版本的开源后门:EggShell和EvilOSX,而目前这个Github存储库已经离线。
首先,它将使用以下命令来下载EggShell后门。
在下载完成之后,它将创建一个启动代理,当用户登录Mac时,EggShell后门会自行启动。
然后,它将继续使用一个经混淆处理的脚本来下载EvilOSX后门。在执行下载时,它还将发送各种配置选项,这些选项将自动添加到下载的后门中。
同样,它也将创建一个启动代理,以便EvilOSX后门能够在用户登录Mac时自行启动。
Thomas Reed表示,目前尚不清楚Coin Ticker应用程序是纯粹出于恶意目的而设计的,还是遭到了恶意攻击。然而,Coin Ticker的网站没有留下任何联系方式,只包含一个下载按钮,这使得Thomas Reed相信它是一个纯粹用于分发木马的shell。
在建党100周年来临之际,创宇盾将为包括党、政、军、事业单位、教育、医疗等重点客户提供免费网络安全保障服务。
美国联邦调查局(FBI)透露,该机构于今年 3 月发起了针对 GRU 控制的大型僵尸网络的专项行动。在获得加利福尼亚和宾夕法尼亚两州法院的授权后,FBI 清理了存在于指挥和控制服务器(C2S)上的所谓 Cyclops Blink 恶意软件,从而切断了其与受感染设备的连接。
根据Meta(Facebook的母公司)的一份新的安全报告,一个与白俄罗斯有关的黑客组织试图入侵乌克兰军事人员的Facebook账户,并从黑客账户发布视频,谎称乌克兰军队投降。这场黑客行动之前被安全研究人员称为”Ghostwriter”,是由一个名为UNC1151的组织实施的,该组织在Mandiant进行的研究中与白俄罗斯政府有关。
获取安全动态