MyCouponSmart携带的SearchMine劫持广告的来龙去脉

今天本来是帮助网友处理Qsearch方面的浏览器劫持，结果搜索到了其算是来源自Searchmine的变种，发现一文章分析的更深入透彻些，于是简单概括下大意，记录下这个劫持是怎么回事，其实其它感染也类似。

本文大部分意译自：Is SearchMine Adware Teeing Up Your Endpoints For Other Threat Actors?

什么是SearchMine广告软件？

SearchMine是一个广告联盟软件系列中的一部分，该广告软件使用“ MyCouponSmart”，“ MyMacUpdater”，“ MMInstall”等名称的商标传播。 SearchMine相关配置的主要目的是将用户的搜索流量重定向到其在www XXX searchmine XXX.net上的登陆页面。该广告软件的主要目标是感染Safari和Chrome浏览器，渐渐地，Firefox也已成为了某些感染的目标。

SearchMine广告软件收集并泄露了大量主机相关的信息。这些信息包括计算机的唯一ID，操作系统和浏览器的版本，已安装的应用程序列表，全局LaunchAgent和LaunchDaemon以及Apple的MRT.app（恶意软件删除工具.app）的已安装版本。

我们的测试机中，由于仅使用准系统虚拟机，所以这一方面的数据信息获取很少，但实际在企业设备上，它可能收集更多有用数据。已安装的应用程序，代理和守护程序的列表等等信息对于恶意威胁行为设计者而言是宝贵的情报，因为它既有利用软件漏洞的可能性，又可以获取计算机是否安装有防止恶意软件的安全软件。尚不清楚这些特定广告软件开发人员为何对收集和导出此类信息感兴趣，但至少一个原因可能是将其出售给DarkNet论坛或其它地下市场中的威胁制造者。
从安全角度考虑此广告软件有害特征包括以下事实：它请求提升安装特权，然后修改sudoers文件以允许当前程序以root用户身份运行而不会遇到后续其它行为进一步的密码请求挑战。 

 

UpToDateMac – SearchMine的更新机制

与大多数产品广告软件涉及的恶意软件一样，SearchMine利用多个LaunchAgent和LaunchDaemon来保持持久性。 它还通常会安装用户级配置文件来锁定Chrome和Safari偏好设置，这样，无论用户在浏览器中为首页和首选搜索引擎等怎么设置，它们都将被已安装的配置文件所确定的全局托管偏好设置覆盖 .mobileconfig文件。

SearchMine的用户LaunchAgents之一通常具有以下程序参数，其中User1是举例的当前用户简称。

请注意，在这种情况下，指向的可执行文件MyMacUpToDate在～/ Applications而非/ Applications的非标准位置。

base64解码如下。

在最近的一次事件中，我们注意到此文件和更新的第二个LaunchAgent都采用以下格式：

同样，请注意非标准Applications文件夹的位置，还要注意sudo的-E标志。 该标志表明该程序应在保留用户现有环境变量的同时启动，这本身表明该可执行文件很可能是Shell脚本（macOS威胁参与者越来越喜欢该脚本），而不是应用程序或machO可执行文件。

经过进一步的调查，结果发现UpToDateMac确实是一个shell脚本，它大量使用环境变量，并且还具有其他一些有趣的功能。

深入研究UpToDateMac Shell脚本

尽管shell脚本的副本在执行之前就已在用户计算机上被阻止并删除，但是在VirusTotal上进行的快速检索，获得了其2月初的上传检测结果。

该脚本的第一个特别之处是它包含一种终止机制。

 

如果脚本在～/ Library / Application Support /中找到文件名为.upd2006的0字节文件，则该脚本会中止其恶意行为。如果文件不存在，脚本将通过新建文件来写入并继续执行。

然后，脚本会根据收集到的Mac的序列号、Safari和Chrome浏览器的版本号等创建MD5哈希值。

该图显示了恶意广告软件脚本是如何收集浏览器版本数据的

该脚本充分利用了LOLBins（清除Land二进制文件），然后通过curl方式下载Profile模板，使用sed工具修改配置，并使用profiles命令对本机进行安装。这样操作后就会锁定用户的浏览器，以使他们无法从浏览器提供的入口去更改主页和其它首选项。

更新和安装等其它操作中，该脚本会继续收集用户计算机上的应用程序列表，配置文件，LaunchAgent，LaunchDaemons和MRT版本的列表数据，然后将数据拼接一起并以JSON格式上传到mmpXXX.myshopcouponmac.com域名的网站。

尽管该域名是早在2018年注册的，没有提供其它任何细节。它通过Ubuntu服务器上nginx旧版本（尴尬）运行。

同样令人惊讶的事实是，在过去的几个月中，该域名在VirusTotal上已被查询了数十次。

结论

在本文中，我们快速分析了Mac上最流行的浏览器劫持者之一SearchMine及其相关广告软件家族MyShopcoupon和类似相关的最新更新。这些广告嵌入不仅使用户烦恼，降低了他们的生产力，而且还以LaunchAgents和.NET的形式收集有关设备配置信息，包括已安装的应用程序和系统运行启动项LaunchAgents 、LaunchDaemons等的详细信息。

显然，获取此类信息已经超出了从浏览器重定向赚钱的范围，它的设计者很可能正在利用此类信息构建数据仓库，为了在将来其它某些方面进一步获利。

防止用户相关设备数据落入犯罪分子之手的关键是防止此类恶意软件首先在您的终端上执行。

SAMPLE
SHA 256: 4ab52dd99ecf269cf74ff9334dec015ad0184659ba848fd762dabc650e00a575


~/Library/Application Support/.upd2006 
~/Library/LaunchAgents/com.MyMacUpToDate.agent 
~/Library/LaunchAgents/com.uptodatemac.upd.agent.plist 
~/Applications/MyMacUpToDate
~/Applications/UpToDateMac/UpToDateMac

URLs
mmp[.]myshopcouponmac[.]com
request[.]mymacuptodate[.]com/macCheckForUpdates