【當心】Adobe的Mac版破解?假Adobe Zii盜信用卡、偷挖礦

你有在找 Adobe 系列產品如 Photoshop CC、Illustrator CC 這樣的 Mac 非法破解程式 Adobe Zii 下載嗎?有個惡意應用程式偽裝成這樣的非法破解軟體,特別針對 macOS 系統用戶進行虛擬貨幣挖礦以及竊取你的信用卡資料,資訊安全不可不慎!

Adobe Mac 破解 Zii 信用卡 挖礦

建議別下載這樣的程式了,買正版授權真的比較安全。


偽裝 Adobe Zii 破解程式的惡意軟體



感謝趨勢科技提供相關資料:
根據趨勢科技最新的分析顯示了即便是非法破解程式也會被網路犯罪分子用來誘騙使用者安裝惡意應用程式。在這次的案例中,趨勢科技看到一個惡意應用程式偽裝成 Adobe Zii(用來破解Adobe產品的工具),針對macOS系統來挖掘虛擬貨幣並竊取信用卡資料。

實際技術分析解釋:
惡意應用程式是在VirusTotal上看到,最初由Malwarebytes回報,以「Adobe Zii.app」的形式進入目標系統。

圖1.、Adob​​e Zii.app的內容



執行時,它利用automator.app啟動Adobe Zii.app\Contents\document.wflow內的Bash腳本。

圖2、惡意軟體啟動Bash腳本



趨勢科技執行Adobe Zii.app的副本時觀察到它從hxxp://46[.]226[.]108[.]171:80/sample.zip下載sample.app並儲存到使用者目錄~/。接著取出內容並在系統內執行。這是用來掩飾其惡意背景活動的原始Adobe Zii.app。

我們還發現惡意軟體會連到hxxps://ptpb.pw/jj9a,裡面有一支加密過的Python腳本會檢查Little Snitch(macOS上的主機型應用程式防火牆)是否在執行。如果沒有,腳本會連到hxxp://46[.]226[.]108[.]171:4444/login/process.php,這裡有加密過的Empyre後端,可以將命令推送到受感染的macOS系統。後門執行後會接收命令從hxxp://46[.]226[.]108[.]171:4444/uploadminer[.]sh下載Bash腳本。會將uploadminer.sh儲存到系統並執行。

MacOS惡意軟體竊取信用卡資料

uploadminer.sh能夠從Google Chrome瀏覽器竊取儲存的資料。包括了原始網址、使用者名稱、密碼和信用卡名稱、卡號和到期日。

圖3、惡意軟體竊取使用者帳密和信用卡資料



惡意軟體會連到hxxp://46[.]226[.]108[.]171/harmlesslittlecode[.]py,並將Python腳本儲存到~/Library/Application Support/Google/Chrome/Default。這會用於顯示來自Google Chrome瀏覽器的解密資料。接著將資料以.txt檔案格式收集,並且和Google Chrome的Cookie一起壓縮成.zip檔,儲存成~/Library/Application Support/Google/Chrome/Default/{username}.zip,再上傳到hxxp://46[.]226[.]108[.]171:8000。

自動啟動技術和虛擬貨幣挖礦

這惡意軟體還會從hxxp://46[.]226[.]108[.]171/com[.]apple[.]rig2[.]plis下載plist檔案並儲存到~/Library/LaunchAgents。Plist檔案被用來啟動xmrig2以挖掘虛擬貨幣。它還會從hxxp://46[.]226[.]108[.]171/com[.]apple[.]proxy[.]initialize[.]plist下載plist檔案,裡面包含相同的檢查Little Snitch是否正在執行並連到加密過Empyre後端的那個加密過Python命令。這些plist檔案透過launchctl命令載入到系統,讓它們能夠在啟動時執行。

惡意軟體會連到hxxp://46[.]226[.]108[.]171/xmrig2並將檔案儲存到/Users/Shared/xmrig2來挖掘虛擬貨幣。這檔案是用來挖掘Koto幣的命令列程式。

圖4、腳本內包含虛擬貨幣挖礦的命令



以下憑證被用在受感染系統上挖掘虛擬貨幣:


相關細節可以參考趨勢科技的解決方案說明

MacOS只要定期更新系統和應用程式來修補可被利用的漏洞就可以遠離此類威脅。此外,只從官方網站和可信賴的應用程式商店下載軟體和應用程式可以防止惡意威脅偽裝成合法程式。

MacOS使用者還可以利用 PC-cillin 2019 雲端版 for Mac 這類的安全解決方案,它提供了全面性的安全防護及多裝置保護來對抗網路威脅。企業可以利用趨勢科技 XGen 防護技術的 Smart Protection Suites,它將高保真機器學習(Machine learning,ML)融入各種威脅防護技術來消除任何使用者活動和端點間的安全間隙。

這裡建議大家不要下載不明的軟體或是非法破解程式。


資料來源:趨勢科技 - Mac惡意軟體,偽裝非法破解 程式Adobe Zii,竊取信用卡,還偷挖礦

相關資料:MyGoPen - 【非謠言】42款中國App會竊取個資?印度政府當時呼籲軍方刪除

用行動支持 MyGoPen

事實查核的工作上,真的需要投入許多時間與資源,我們在 LINE 一對一諮詢服務更是付出相當多的努力。在提升媒體素養以及打造乾淨網路環境的路上,我們需要長期的小額贊助,才能走得更遠。真的非常感謝認同《MyGoPen》理念朋友的贊助與支持!

【贊助我們】

名稱

中風,2,內容農場,101,公益,5,化妝品,2,心肌梗塞,2,台電,2,交通,46,地震,6,好康,16,有毒,83,行銷手法,10,免洗筷,2,災難,22,車禍,4,狗肉,1,阿婆,1,保養,15,保險,3,宣導,25,後製,17,急救,2,政治,44,政策,48,活動,28,流浪狗,1,流感,6,飛碟,1,食安,85,個人說法,12,泰國,2,真實資訊,91,神蹟,5,迷信,2,假公益,4,假好康,59,假知識,116,假政策,17,假活動,14,假科學,22,假教學,9,假連結,8,假尋人,4,假新聞,149,假圖片,70,假影片,127,假養生,57,假醫學,54,偏方,5,健康,120,教學,36,惡作劇,5,惡意推銷,9,詐騙,139,詐騙集團,98,愛心,3,愛滋病,4,腫瘤,30,誇大,50,資訊安全,43,過期資訊,28,電話,3,誤解,32,銀行,11,廣州,1,影片,76,敷臉,1,燙傷,5,輻射,10,癌症,79,臉書,105,謠言,205,謠傳,199,醫療,2,爆炸,5,藝術作品,2,蘑菇,1,APP,4,Facebook,98,Google,1,LINE,804,PTT,11,Twitter,1,
ltr
item
MyGoPen: 【當心】Adobe的Mac版破解?假Adobe Zii盜信用卡、偷挖礦
【當心】Adobe的Mac版破解?假Adobe Zii盜信用卡、偷挖礦
https://3.bp.blogspot.com/-exkRbosoUyU/XG39VBio7lI/AAAAAAABdPQ/5_TvnQTZWogfbMEthrufS2Y8lhSHlqn1QCLcBGAs/s640/adobe.jpg
https://3.bp.blogspot.com/-exkRbosoUyU/XG39VBio7lI/AAAAAAABdPQ/5_TvnQTZWogfbMEthrufS2Y8lhSHlqn1QCLcBGAs/s72-c/adobe.jpg
MyGoPen
https://www.mygopen.com/2019/02/adobemacadobe-zii.html
https://www.mygopen.com/
https://www.mygopen.com/
https://www.mygopen.com/2019/02/adobemacadobe-zii.html
true
4272037284105697328
UTF-8
Loaded All Posts Not found any posts 更多 更多內容 Reply Cancel reply Delete By Home PAGES POSTS View All 推薦相關資訊 分類 ARCHIVE ALL POSTS Not found any post match with your request 回首頁 Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share to a social network STEP 2: Click the link on your social network Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy