OSX 更新畫面出現山寨版!網路釣魚夾帶惡意軟體,劫持 Apple OS X使用者網路流量

OSX_DOK惡意軟體(趨勢科技偵測為OSX_DOK.C)具備像濫用憑證和躲避防毒軟體等進階技術來感染Apple OSX作業系統電腦。這個惡意軟體專門針對瑞士銀行的用戶,利用網路釣魚(Phishing)攻擊來植入惡意軟體,最終利用中間人(MITM)攻擊來劫持使用者的網路流量。OSX_DOK.C就好像是另一個版本的WERDLOD(趨勢科技偵測為TROJ_WERDLOD,被用在Emmental行動的惡意軟體)。我們在本文章中會進一步探討這有趣的關聯。

 

《延伸閱讀》當你試著想要解鎖手機時,有人已經清空了你的銀行帳戶:再次檢視Emmental犯罪行動

 

網路釣魚信偽裝成蘇黎世警官,聲稱無法成功連絡到收件者

抵達方式和感染流程

圖1:OSX_DOK.C對Mac系統的感染流程

 

OSX_DOK.C會透過包含特定.zip或.docx檔案的網路釣魚郵件到達。趨勢科技所分析的樣本偽裝成蘇黎世警官,聲稱無法成功連絡到收件者。該郵件還夾帶兩個聲稱關於詢問使用者問題的檔案:一個是.zip檔案,這是個假 OSX應用程式,而另一個則是用 WERDLOD 針對Windows作業系統的.docx檔案。這兩個樣本都是銀行木馬程式,有著類似的功能。

郵件附件檔所用的檔案還包括以下例子:

  • Zahlungsinformationen 01.06.2017.zip
  • Zahlungsinformationen digitec.zip
  • zip
  • Dokument 09.06.2017.zip
  • Dokument 09.06.2017.docx
  • docx
  • 2017.docx

 

刪除系統上的 App Store,出現全螢幕的假 OSX更新畫面

一旦點開網路釣魚郵件內的 docx 檔案,就會跳出一個警告視窗:

圖2:OSX上的警告視窗

 

之後會刪除系統上的App Store,接著出現全螢幕的假OSX更新畫面。

圖3:假 OSX更新畫面

它會要求輸入密碼來以root權限執行命令。

圖4:假OSX更新畫面

安裝假憑證,在使用者不知情下進行MITM攻擊

該惡意軟體會開始下載其他工具。它利用開放原始碼軟體管理程式 Homebrew來安裝Golang和Tor。

隨後這惡意軟體會在系統中安裝假憑證,能夠在使用者不知情下進行MITM攻擊。

假App Store的架構符合應用程式綁定架構(application bundle structure),並且提供英德語介面。主要可執行檔是Dokument.app/Contents/MacOS/AppStore。

檔案在Mac OSX上看起來像這樣:

圖5:假文件檔案

 

Mac OSX會執行通過認證的應用程式。在此案例中,惡意軟體是由“developer”簽章,這可能是個假帳號或是個受駭使用者。此外,CA時間戳記是新的,這可能代表它是為這次攻擊而專門取得。

假憑證模仿COMODO根憑證。要注意該假憑證不包含COMODO憑證認證機構封印來證明其有效性,可以從下面比較圖看出:

圖6:比較假COMODO(左)根憑證與真正的COMODO憑證(右)

 

趨勢科技注意到這惡意軟體無法透過Mozilla Firefox或Google Chrome運作,因為這兩種瀏覽器有自己的根憑證。在所有的主流瀏覽器中,只有Safari使用系統的憑證。

我們在2017年6月9日觀察到攻擊者用同一封垃圾郵件攻擊Windows和Mac OSX。有一個檔案捷徑內嵌在惡意.docx檔中,使用者點擊後就會從Dropbox下載可執行檔。它的功能跟惡意應用程式相似,包括安裝TOR和代理伺服器。

趨勢科技已經通知Dropbox關於使用其服務的惡意軟體。Dropbox已經移除連結。

這個惡意軟體會在本機安裝兩個代理伺服器以端口5555和5588運行,所有的連線都會被第一個代理伺服器劫持(端口5555)。

圖7:安裝在本機的代理伺服器(端口5555

 

第一個代理伺服器(端口5555)會先檢查IP。如果不是位在瑞士,流量會正常進行。如果偵測到位於瑞士的IP,惡意軟體會執行混淆過的JavaScript程式碼並找出連線網域。如果是目標網域,惡意軟體會執行MITM攻擊,將流量重新導到第二個代理伺服器(端口5588),它會將流量繞到Tor網路。這些步驟的目的是針對瑞士使用者並劫持他們的網路流量

 

解碼惡意軟體後可以發現目標網域:

圖8:寫在程式碼內的目標瑞士銀行列表

 

重新導向假網路銀行登錄頁面,劫持連線

目標網域訪客會被重新導向一個網路銀行登錄頁面。看起來一切正常,但卻是位在暗網(dark web)的網站。

一旦受害者輸入帳號和密碼。會跳出一個視窗。

圖9:劫持對EKR銀行的連線

 

該跳出視窗只是個煙霧彈,當倒數歸零時並不會發生任何事情。

趨勢科技分析了該網頁,發現攻擊者注入腳本到網頁。一旦使用者輸入了帳號和密碼,它會用AJAX啟動POST。POST訊息會被發送跟假登錄網頁相同的網站,攻擊者可以在Tor網路加以控制。

圖10:POST訊息帶有參數

 

我們解碼資料後發現並不只有帳號和密碼,也有使用者的瀏覽器和系統資訊。

雖然Emmental行動可以誘騙受害者安裝假應用程式來繞過雙向認證,我們並沒有看到OSX_DOK.C這麼做。不過既然他們可以將程式碼插入網頁,意味著他們也有能力這樣做。

靜態分析 OSX_DOK.C

趨勢科技靜態分析樣本後發現它是用UPX壓縮,這是個常被惡意軟體濫用的開放原始碼執行檔壓縮程式。我們成功地用UPX解壓縮工具來打開原先被植入的樣本。

這個惡意軟體並沒有經過混淆處理,所以很容易就可以找到需要的字串。我們可以看到這個惡意軟體大量的利用bash shell。

圖11:OSX_DOK.C字串

 

我們無法解開2017年6月9日之後發現的樣本。UPX出現關於記憶體緩衝區溢位的警告訊息。惡意軟體作者似乎讓解壓縮變得更加困難以逃避防毒引擎掃描。壓縮程式是相同的,但惡意軟體試著利用UPX程式庫內未公開的漏洞來讓解壓縮失敗。我們已經將問題回報給UPX團隊,而他們也已經加以修復。

受影響的UPX程式庫版本是3.94、3.93、3.92。這技術讓惡意軟體可以躲過防毒軟體內建的UPX程式庫解壓縮技術,進而有效運作。

連結 OSX_DOK.C與WERDLOD

正如前面所提到,我們認為OSX_DOK.C可能是MAC OSX版本的WERDLOD,這是個跟Emmental行動使用相同技術的網路銀行木馬。其他研究也將此OSX惡意軟體和Retefe(其他人對WERDLOD的稱呼)透過它們行為的相似性而連結在一起。

雖然OSX_DOK.C是設計在MAC OSX上執行,一種Unix系統。而WERDLOD是專門運作在Windows上。但在功能和行為方面,這兩種惡意軟體非常相似。底下是它們的相似處列表。

兩種惡意軟體都會在安裝假憑證前停止使用中的瀏覽器:

WERDLOD和OSX_DOK.C都會在安裝假憑證前砍掉瀏覽器程序。WERDLOD是停止Internet Explorer、Firefox和Chrome,而OSX_DOK.C則是停止Safari、Firefox和Chrome。

WERDLOD 和OSX_DOK.C兩種惡意軟體共享相同的代理伺服器設定和腳本

雖然 WERDLOD 和OSX_DOK.C使用不同程式碼(因為針對不同的作業系統),但它們具有類似的代理伺服器設定和格式。舉例來說,WERDLOD執行hxxp://127.0.0.1:5555/#{random_string}.js?ip=#{my_ip}上的腳本作為代理伺服器:

圖12:區域網路(LAN)設定

 

我們可以看到OSX_DOK.C也使用相同的腳本格式:

圖13:OSX_DOK.C網路設定

 

WERDLOD 和OSX_DOK.C兩種惡意軟體都有類似目標:

WERDLOD和OSX_DOK.C都是針對金融機構,特別是瑞士的銀行。對這兩種惡意軟體的進一步分析顯示它們的主要目標非常相似(如下圖所示)。雖然這可能是巧合,但其他證據顯示這兩種惡意軟體並非只是剛好針對共同的目標。

圖14:OSX_DOK.C的目標銀行

 

有鑑於WERDLOD和OSX_DOK.C之間的連結,可以合理假設後者也是Emmental行動的一部分。為了進一步說明,底下是Emmental行動及其與OSX_DOK.C潛在關聯的時間表:

圖15:連結Emmental行動與OSX_DOK.C

 

緩解方法和趨勢科技的解決方案

儘管Mac上的網路釣魚攻擊比Windows少,不過使用者還是要知道攻擊者隨時都可以將他們當作目標。像OSX_DOK.C這樣的惡意軟體針對的就是對網路釣魚缺乏安全意識的獵物,只要遵循防範網路釣魚攻擊的最佳實作(像是不從非可信來源下載檔案),就可以避免成為它們的受害者。

此外,一般用戶也可以利用安全解決方案(如趨勢科技”PC-cillin雲端版 for Mac),它提供對病毒、勒索病毒、惡意網站和身份竊賊全面且跨設備的安全防護。還提供密碼和其他敏感資料的安全保管箱。趨勢科技行動安全防護(可從App Store下載)可以監控和封鎖網路釣魚攻擊等惡意網址。

對於企業,趨勢科技具備XGen安全技術的趨勢科技 Smart Protection Suites 可以支援Mac系統,整合高保真機器學習與多種威脅防護技術來消除任何使用者活動及所有端點所會產生的安全間隙。

 

@原文出處:OSX Malware Linked to Operation Emmental Hijacks User Network Traffic 作者:Rubio Wu(威脅分析師)額外分析來Yi-Jhen Hsieh(交大DSNS實驗室)