本周早些时候(2018.12.7)，我们发现了一种新的Mac恶意软件，这种软件出于恶意目的，结合了两种不同的开源工具――EmPyre后门和XMRig加密挖矿软件。

该恶意软件通过Adobe zii这一应用软件进行传播。Adobe zii是对Adobe软件进行盗版的软件。但在这种情况下，这个名为Adobe Zii的软件并不是真实的。

从以上截图中可以发现，实际的Adobe Zii软件（左侧），使用了Adobe Creative Cloud徽标（毕竟，如果要编写软件来帮助人们窃取Adobe软件，为什么不同时偷取徽标？）。然而，恶意软件安装程序使用通用的Automator applet图标。

使用Automator打开假的Adobe Zii 软件，可以看到它仅仅运行了一个shell脚本。

这个脚本下载并运行了一个python脚本，然后下载并运行一个名为sample.app的应用。

simple.app 很简单，它只是某个版本的Adobe Zii，可能只是为了让这个恶意软件看起来更像是“合法的”。（这并不是指软件盗版是合法的，当然，这只是让这个恶意软件看起来正在做用户想让他做的事情）

这个python脚本是什么呢？它被混淆过，但是可以很容易就被解混淆，脚本如下：

这个脚本首先做的是寻找常用的外出防火墙Little Snitch是否存在，这种防火墙会将后门的网络连接报告给用户。如果Little Snitch存在，则恶意软件会失败。（当然，如果安装了像Little Snitch这样的防火墙，它就会阻止尝试下载此脚本的连接，因此在这一点上进行检查毫无价值。）

这个脚本打开EmPyre后门的连接，该后门能够将任意命令发送到受感染的Mac。后门打开后，它会收到一个命令，将以下脚本下载到/private/tmp/uploadminer.sh并执行：

这种脚本下载并安装恶意软件的另一个组件。创建了一个名为com.proxy.initialize.plist的启动代理，通过运行前面提到的混淆Python脚本来持久地打开后门。

该脚本还将XMRig cryptominer和配置文件下载到/Users/Shared/文件夹中，并设置名为com.apple.rig.plist的启动代理，以使XMRig进程在该配置处于活动状态时运行。（“com.apple”名称直接就是一个红色标志，是发现此恶意软件的根本原因。）

有趣的是，该脚本中有代码用于下载和安装与mitmproxy软件相关的根证书，该软件能够拦截所有网络流量，包括（借助证书）加密的“https”流量。但是，该代码已被注释掉，表明它没有激活。

从表面上看，这种恶意软件似乎是相当无攻击性的。由于占用了所有CPU/GPU，Cryptominers通常只会导致计算机速度变慢。

但是，这不仅仅是一个挖矿软件。该挖矿软件是通过后门发出的命令安装的，并且过去很可能已经发送给受感染的Mac其他命令。所以无法确切知道此恶意软件可能对受感染系统造成的损害。我们目前只观察到采矿行为并不意味着它从未做过其他事情。

Malwarebytes for Mac将此恶意软件检测为OSX.DarthMiner。如果你被感染了，除了加密挖矿之外，不可能知道恶意软件还可能做了什么，完全有可能你的文件或者密码已经遭到泄露。

从中可以学到一个重要的教训：众所周知，软件盗版是在Mac上进行的最危险的活动之一。被感染的危险很高，但人们仍然会这样做。请在将来不要使用盗版软件，因为代价可能远高于正版软件的价格。

文章链接：https://blog.malwarebytes.com/threat-analysis/2018/12/mac-malware-combines-empyre-backdoor-and-xmrig-miner/

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课