malwr4n6/Research-and-Publications
GitHub: malwr4n6/Research-and-Publications
安全研究员 Bhargav Rathod 的个人研究合集,收录威胁情报报告、恶意软件分析及数字取证相关出版物与技术审校书籍。
Stars: 0 | Forks: 0
# 研究与出版物 — Bhargav Rathod
威胁情报报告、研究论文和出版物。
## 出版物
| 日期 | 标题 | 作者 | 出版方 | 链接 |
|---|---|---|---|---|
| 2026年6月20日 | ClickFix 活动通过 DMG 传递 macOS 信息窃取程序 | Manbendra Satpathy, **Bhargav Rathod**, Shazan Khaja, Veronika Senderovych | Palo Alto Networks Unit 42 | [查看](https://github.com/PaloAltoNetworks/Unit42-timely-threat-intel/blob/main/2026-06-20-ClickFix-campaign-delivers-macOS-infostealer-via-DMG.txt) |
## 书籍
| 年份 | 角色 | 标题 | 作者 | 出版方 | ISBN |
|---|---|---|---|---|---|
| 2026年1月 | 技术审校 | [Android 和 iOS 移动取证:利用区块链、机器学习和深度学习进行数字调查](https://link.springer.com/book/10.1007/979-8-8688-1748-9) | Ravi Sheth, Keshav Kaushik, Chandresh Parekha, Narendrakumar Chayal | Apress, Berkeley CA (Springer Nature) | 平装本:[979-8-8688-1747-2](https://link.springer.com/book/10.1007/979-8-8688-1748-9) / 电子书:[979-8-8688-1748-9](https://link.springer.com/book/10.1007/979-8-8688-1748-9) |
| 2025 | 技术审校 | [高级恶意软件分析与情报](https://in.bpbonline.com/products/advanced-malware-analysis-and-intelligence) | Mahadev Thukaram, Dharmendra T | BPB Publications, India | 平装本:[9789365899504](https://in.bpbonline.com/products/advanced-malware-analysis-and-intelligence) / 电子书:9789365890709 |
| 2021 | 图书编辑 | [取证与印度法律指南:调查 21 世纪的犯罪](https://www.google.co.in/books/edition/The_Guide_to_Forensics_Indian_Law/sdRpzgEACAAJ?hl=en) | Anuj Kumar, Mahipal Singh Sankhla, Kapil Parihar | Legal Desire Publications, Dept. of Forensic Science & Criminal Investigation | [978-0-578-89799-8](https://www.researchgate.net/publication/350947506_Guide_To_Forensics_Indian_Law_Investigating_Crimes_in_21st_Century) |
## 2026 — ClickFix 活动通过 DMG 传递 macOS 信息窃取程序
| 字段 | 详情 |
|---|---|
| **出版方** | Palo Alto Networks Unit 42 |
| **日期** | 2026年6月20日 |
| **作者** | Manbendra Satpathy, Bhargav Rathod, Shazan Khaja, Veronika Senderovych |
| **恶意软件家族** | AMOS (Atomic macOS Stealer) — C++ Odyssey 变种 |
| **架构** | Universal Mach-O (Intel x64 + ARM64) |
| **初始访问** | 伪造的 CAPTCHA 页面 → 粘贴至终端 → 通过 `hdiutil attach -nobrowse` 静默挂载 DMG |
| **暂存目录** | `~/.hlpr/` |
| **持久化** | LaunchAgent `~/Library/LaunchAgents/com.hlpr.agent.plist` |
| **配置加密** | XOR,8 字节循环密钥:`a9048cf1c9d113b6` |
| **字符串加密** | SIMD XOR,32 字节密钥:`8111edf01ac6cb5c77e249d4e84fd92a85b5e89c2e2bef92fbe00b6f1cc2aa8e` |
| **构建信息** | Build ID: 123 \| 活动: 25 \| 构建名称: noname3 |
| **C2 端点** | `/api/reports/upload` \| `/api/agent/download` \| `/api/download/app-bundle` |
### 功能
| 类别 | 详情 |
|---|---|
| **凭证钓鱼** | 伪造的 osascript“系统偏好设置”对话框;通过 `dscl . -authonly` 进行验证 |
| **浏览器数据窃取 (Chromium)** | Arc, Brave, Chrome, Edge, Opera, Vivaldi, Yandex, CocCoc — cookies、登录数据、网络数据 |
| **浏览器数据窃取 (Firefox)** | LibreWolf, SeaMonkey, Tor Browser, Waterfox, Zen — cookies.sqlite、logins.json |
| **钱包扩展** | 201 个浏览器加密钱包扩展目录 |
| **独立钱包** | Electrum, Exodus, Atomic, Bitcoin Core, Litecoin Core, DashCore, Guarda, Dogecoin, Binance, TonKeeper, Wasabi, Electron Cash, Electrum-LTC |
| **即时通讯** | Telegram, Discord(包括通过 discord Safe Storage 获取的 keychain 密钥) |
| **额外收集** | Apple Notes、Safari cookies、macOS 登录 keychain、用户文档 (PDF/TXT/RTF) |
| **数据外发** | 通过 `curl POST` 发送至 C2 `/api/reports/upload`,附带 `user_id` 和 `build_tag` 参数 |
| **供应链劫持** | 通过 `ditto -x -k` 对 `/Applications` 中的 Ledger Live 和 Trezor Suite 进行木马化 |
### 攻陷指标
#### 网络
| 类型 | 指标 |
|---|---|
| IP | `178.16.52[.]101` |
| IP | `196.251.107[.]171` |
| 域名 | `svs-verificationdate[.]beer` |
| 域名 | `fewfwfwfwfwf[.]info` |
| URL | `hxxp[:]//svs-verificationdate[.]beer/f0038a5f46720da5982b6984ceef10cf99359432e102b12a0b0657498d36f670` |
| URL | `hxxps[:]//fewfwfwfwfwf[.]info` |
| URL | `hxxp[:]//196.251.107[.]171:3000` |
#### 文件哈希
| 文件 | SHA-256 |
|---|---|
| s.01M0td.dmg | `25b6fc4f9c54a28ba7bfc4dfeafb62c99b59ea6f0d17679219b876b321965095` |
| NNApp.app (bundle) | `067ad6221b2224d5cdb64e51c5516132d820cf4d7edf9ec170643943e79c04b7` |
| Mach-O x64 | `d6f479736ba55d3c4e895c4940d035cf772f3192fb8dc496f09a801aed16d970` |
| Mach-O ARM64 | `833008c03d40422192051584d829d730497108bef31751cceb0cc043dd96bbfb` |
#### 主机痕迹
| 类型 | 路径 |
|---|---|
| 暂存目录 | `~/.hlpr/` |
| 所有权文件 | `~/.hlpr/User Name.txt` |
| 系统配置文件 | `~/.hlpr/System Information.txt` |
| 持久化 | `~/Library/LaunchAgents/com.hlpr.agent.plist` |
| 初始下载 | `/private/tmp/s.01M0td.dmg` |
| 挂载的卷 | `/Volumes/NNApp/NNApp.app` |
| Bundle identifier | `com.utils.nnapp` |
## 许可协议
© Bhargav Rathod。保留所有权利。
标签:DAST, 出版物, 域环境安全, 威胁情报, 开发者工具, 恶意软件分析, 数字取证, 自动化脚本