详细内容或原文请订阅后点击阅览
CloudChat 信息窃取者 Mac 恶意软件伪装成“安全”服务
一款自称“安全”的聊天应用 CloudChat 偷偷窃取了受害者 Mac 上的加密密钥和钱包,并安装了后门恶意软件。了解更多信息,包括哪些消息应用程序实际上是可以安全使用的。文章 CloudChat 信息窃取者 Mac 恶意软件伪装成“安全”服务首先出现在 Mac 安全博客上。
来源:Intego博客 _恶意软件恶意软件
恶意软件研究人员最近发现,一款名为 CloudChat 的聊天应用偷偷窃取了受害者 Mac 上的加密密钥和钱包。该恶意软件还打开了后门,允许开发人员远程控制受感染的 Mac 并秘密运行终端命令。
在研究人员发布有关该恶意软件的文章后不久,该聊天应用网站发生了变化。它不再提供该应用的同一版本。以下是我们目前对这个故事的了解。
什么是 CloudChat 信息窃取恶意软件?它会做什么?
4 月 3 日,恶意软件研究人员 Adam Kohler 和 Christopher Lopez 发现了一个有趣的文件,该文件当天已上传到 VirusTotal。VirusTotal 是一个允许任何人使用多个防病毒引擎扫描文件的网站,以查看哪些引擎将其检测为潜在危险;上传到该网站的文件可供恶意软件研究人员下载。
发现包含该文件的相同 DMG(macOS 磁盘映像)也可在 CloudChat 官方网站上找到。
当受害者运行该应用程序时,它会检查系统的 IP 地址是否意味着 Mac 在中国。 如果是,它会避免下载恶意负载。
但是,如果受害者的 Mac 似乎不在中国,它会偷偷下载并运行第二阶段负载。 负载是一个隐藏在用户主文件夹中的应用程序;它的名称以句点字符开头,因此在 macOS Finder 中不可见。
然后,该应用程序收集有关受感染 Mac 的信息并将其发送给 Telegram 用户。 然后,它开始监视用户可能复制到剪贴板的任何比特币、以太坊或 TRON 加密私钥。 如果受害者碰巧复制了一个,恶意软件会通过 Telegram 将其泄露给恶意软件开发人员。
该恶意软件还会检查 Mac 上是否有常见的 Google Chrome 加密货币钱包扩展程序。如果发现任何扩展程序,它会创建一个压缩档案并将其泄露到攻击者的 FTP 服务器。