开源 DarthMiner 恶意软件瞄准Adobe盗版者与Cryptominer

综合技术 2018-12-08 阅读原文

根据 Malwarebytes实验室所报告 ,使用开源XMRig矿工和EmPyre后门实用程序来攻击软件盗版者已经观察到一种稍微奇怪的恶意软件毒株。

这款OSX.DarthMiner恶意软件被设计成模仿用来盗版各种Adobe应用程序的Adobe Zii工具,尽管它没有复制自己的图标,而是绑定了一个引人注目的Automator小应用程序图标,这有可能让许多人产生错觉。

尽管恶意软件包含的代码可能通过mitmproxy根证书拦截加密通信量,但OSX.DarthMiner的作者对此进行了注释,决定只将其用作基于Python的 EmPyre后门 的丢弃程序。

在感染的下一步中,在受感染的系统上下载并启动能够运行任意命令的后门脚本之后,恶意软件确保在重新启动之间在名为com.proxy. initializer .plist的启动代理的帮助下获得持久性。

接下来,将XMRig加密器与配置文件一起下载到/Users/Shared/文件夹中,并设置一个名为com.apple.rig.plist的新启动代理,以确保加密器始终使用恶意软件的作者挖掘配置。

除了密码学之外,DarthMiner还可能有其他类似恶意软件的行为

即使是OSX.DarthMiner恶意软件乍一看似乎是无害的,因为恶意的密码窃取者最多只能通过占用所有的CPU和GPU资源来减慢受害者的Mac电脑的速度。,但它还远远不止于此。

Malwarebytes的Thomas Reed补充称:“要记住,cryptominer是通过后门发出的命令安装的,过去很可能还有其他任意命令通过后门发送给受感染的mac电脑。”

此外,“不可能确切地知道这种恶意软件可能对受感染的系统造成了什么损害。仅仅因为我们只观察了挖掘采矿行为并不意味着它从未做过其他事情。”

在恶意任务中,OSX.DarthMiner可以让入侵者秘密地在后台运行,数据收集和泄漏可能是最不危险的。

Linux公社的RSS地址https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址: https://www.linuxidc.com/Linux/2018-12/155740.htm

Linux公社

责编内容by:Linux公社阅读原文】。感谢您的支持!

您可能感兴趣的

百度金融加入Hyperledger超级账本开源项目... 网易科技讯10月17日消息,百度旗下百度金融正式加入Linux基金会旗下Hyperledger(以下简称“超级账本”)开源项目,成为该项目核心董事会成员。超级账本现已拥有160个成员,其中核心董事会成员还包括埃森哲、Airbus、美国运通、...
GitHub streak: End-game and post-mortem More than a year ago I blogged (and blogged again later) about my ongoing github streak . The GitHub stre...
Companies continue to use vulnerable open source c... Use of known vulnerable open source components has increased by 120 percent over the last year and 62 percent of org...
Open Source Leaders: Solomon Hykes and the Docker ... Hykes likes to try new ideas and new things. “If they work I keep it. If it doesn’t work I try something else,” said Hyk...
推荐一个我梦寐以求的开源库 注意:今天我分享的这个开源库,真的是非常的好,是我近半年以来非常需要的一个开源库。这个开源库是关于微信小程序的。 说实话,微信小程序开发在当下要多火就有多火,相信大家的微信群和朋友圈经常会被各种微信小程...