针对macOS的新型加密货币挖矿木马OSX.CpuMeaner 本文中，我们分析了一个针对macOS的新型加密货币挖矿木马。该恶意软件隐藏于下载的盗版应用程序中，并秘密地利用用户的硬件进行门罗币（一种加密货币）挖矿。 虽然思路与OSX.Pwnet类似，但实现的方法更接近于恶意广告软件。 感染 使用盗版软件的用户可能会被来自各种来源的恶意软件感染，包括简单的Google搜索和描述中带有恶意链接的YouTube视频。技术支持诈骗，假的Flash播放器和推荐的病毒扫描，都可能导致受害者被恶意软件包感染。下面的例子是一个用户正在寻找破解版的Sketch应用程序： $ curl -svJO -G -d e=pkg -d tag=mosx3 -d clickid=2305343 -d key="Sketch 47 Crack" * Trying 46.30.45.236... * Connected to jumpcash.xyz (46.30.45.236) port 80 (#0) > GET /download.php?e=pkg&tag=mosx3&clickid=2305343&key=Sketch 47 Crack HTTP/1.1 > Host: jumpcash.xyz > User-Agent: curl/7.43.0 > Accept: */* > < HTTP/1.1 200 OK < Server: nginx/1.4.6 (Ubuntu) < Date: Tue, 14 Nov 2017 10:19:17 GMT < Content-Type: application/octet-stream < Content-Length: 169267 < Connection: keep-alive < X-Powered-By: PHP/5.5.9-1ubuntu4.21 < Content-Description: File Transfer < Content-Disposition: attachment; filename=Sketch_47_Crack-2305343-823868397374412531.pkg < Content-Transfer-Encoding: binary < Expires: 0 < Cache-Control: must-revalidate < Pragma: public < { [936 bytes data] * Connection #0 to host jumpcash.xyz left intact $ shasum -a 256 Sketch_47_Crack-2305343-823868397374412531.pkg 7a6cc593a8fb2853b817013e28681fa1698fd59d0cea69ba06b7a4b6dc3d5c80 Sketch_47_Crack-2305343-823868397374412531.pkg 目标文件名是使用key和clickid参数生成的。当然，下载的软件包不包含任何盗版软件： 在一个假的法文种子站上也发现了该威胁： 一些用户在Apple论坛上抱怨安装的可执行文件xmemapp和cpucooler。 根据VirusTotal，自2017年9月下半月以来，该威胁一直在肆虐，检测率为0。软件包分析 在撰写本文时，服务器上有三个软件包：$ for tag in mosx{1,2,3} ; do curl -s -o $tag.pkg -G -d e=pkg -d tag=$tag ; done $ shasum -a 256 mosx*.pkg d15a51bb1a88a8906a997a0d4c0d3fb35ddd64b722af23120600eeea989ecef9 mosx1.pkg c3c0da504e40359ce8247b912cbff00cbd32a2222cb53a6bd30f2e44f7781049 mosx2.pkg 7a6cc593a8fb2853b817013e28681fa1698fd59d0cea69ba06b7a4b6dc3d5c80 mosx3.pkg 它们有同一个开发者证书的签名： $ ls mosx*.pkg | xargs -L 1 pkgutil --check-signature | awk '/Developer ID Installer/' 1. Developer ID Installer: Artur Nurgaliev (DEWCRD3789) 1. Developer ID Installer: Artur Nurgaliev (DEWCRD3789) 1. Developer ID Installer: Artur Nurgaliev (DEWCRD3789) Apple于2017年11月10日撤销了该证书：$ ls mosx*.pkg | xargs -L 1 spctl --assess -v --type install mosx1.pkg: CSSMERR_TP_CERT_REVOKED mosx2.pkg: CSSMERR_TP_CERT_REVOKED mosx3.pkg: CSSMERR_TP_CERT_REVOKED 带mosx1标记的软件包释放xmemapp，而带mosx2和mosx3标记的软件包释放cpucooler：$ for pkg in mosx*.pkg ; do echo $pkg: $(pkgutil --payload-files $pkg | egrep -v -e ^\.$) ; done mosx1.pkg: ./xmemapp mosx2.pkg: ./cpucooler mosx3.pkg: ./cpucooler 有效载荷的哈希值不同:$ for tag in mosx{1,2,3} ; do pkgutil --expand $tag.pkg $tag && tar xf $tag/Payload -C $tag ; done $ shasum -a 256 mosx*/{x,c}* d196aba4d59b132fc9cd6f6ba627166a8eb6631017636b0ed4df7fd0260524a5 mosx1/xmemapp 47e523a8b796c27b6c0fe91a4781aa7b47c8d66ddb75117d3f3283a6079ff128 mosx2/cpucooler 5c41ab1d3aaa33e021eb73c1a58894df8e679366d2f03663b8f1029a0dc80f26 mosx3/cpucooler 它们没有代码签名：$ ls mosx*/{x,c}* | xargs -L 1 codesign -dvvv mosx1/xmemapp: code object is not signed at all mosx2/cpucooler: code object is not signed at all mosx3/cpucooler: code object is not signed at all 它们的安装位置不同：$ for tag in mosx{1,2,3}; do echo $tag: $(xmllint --xpath "string(//pkg-info/@install-location)" $tag/PackageInfo) ; done mosx1: /Library/Application Support/XMemApp mosx2: /Library/Application Support/CpuCooler mosx3: /Library/Application Support/CpuCooler 安装完成后，软件包将运行postinstall脚本： 将launchd.plist文件写入/Library/LaunchAgents以实现持久化;加载Launch Agent;等待10秒钟然后结束所有带有可执行文件名的进程;在后台等待60秒然后运行可执行文件，并以软件包名作为参数。以下是带mosx2和mosx3标记的软件包的postinstall脚本：原文地址：https://www.sentinelone.com/blog/osx-cpumeaner-miner-trojan-software-pirates/本文由看雪论坛翻译小组成员SpearMint翻译 [培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课