malwr4n6/Research-and-Publications

GitHub: malwr4n6/Research-and-Publications

安全研究员 Bhargav Rathod 的个人研究合集,收录威胁情报报告、恶意软件分析及数字取证相关出版物与技术审校书籍。

Stars: 0 | Forks: 0

# 研究与出版物 — Bhargav Rathod 威胁情报报告、研究论文和出版物。 ## 出版物 | 日期 | 标题 | 作者 | 出版方 | 链接 | |---|---|---|---|---| | 2026年6月20日 | ClickFix 活动通过 DMG 传递 macOS 信息窃取程序 | Manbendra Satpathy, **Bhargav Rathod**, Shazan Khaja, Veronika Senderovych | Palo Alto Networks Unit 42 | [查看](https://github.com/PaloAltoNetworks/Unit42-timely-threat-intel/blob/main/2026-06-20-ClickFix-campaign-delivers-macOS-infostealer-via-DMG.txt) | ## 书籍 | 年份 | 角色 | 标题 | 作者 | 出版方 | ISBN | |---|---|---|---|---|---| | 2026年1月 | 技术审校 | [Android 和 iOS 移动取证:利用区块链、机器学习和深度学习进行数字调查](https://link.springer.com/book/10.1007/979-8-8688-1748-9) | Ravi Sheth, Keshav Kaushik, Chandresh Parekha, Narendrakumar Chayal | Apress, Berkeley CA (Springer Nature) | 平装本:[979-8-8688-1747-2](https://link.springer.com/book/10.1007/979-8-8688-1748-9) / 电子书:[979-8-8688-1748-9](https://link.springer.com/book/10.1007/979-8-8688-1748-9) | | 2025 | 技术审校 | [高级恶意软件分析与情报](https://in.bpbonline.com/products/advanced-malware-analysis-and-intelligence) | Mahadev Thukaram, Dharmendra T | BPB Publications, India | 平装本:[9789365899504](https://in.bpbonline.com/products/advanced-malware-analysis-and-intelligence) / 电子书:9789365890709 | | 2021 | 图书编辑 | [取证与印度法律指南:调查 21 世纪的犯罪](https://www.google.co.in/books/edition/The_Guide_to_Forensics_Indian_Law/sdRpzgEACAAJ?hl=en) | Anuj Kumar, Mahipal Singh Sankhla, Kapil Parihar | Legal Desire Publications, Dept. of Forensic Science & Criminal Investigation | [978-0-578-89799-8](https://www.researchgate.net/publication/350947506_Guide_To_Forensics_Indian_Law_Investigating_Crimes_in_21st_Century) | ## 2026 — ClickFix 活动通过 DMG 传递 macOS 信息窃取程序 | 字段 | 详情 | |---|---| | **出版方** | Palo Alto Networks Unit 42 | | **日期** | 2026年6月20日 | | **作者** | Manbendra Satpathy, Bhargav Rathod, Shazan Khaja, Veronika Senderovych | | **恶意软件家族** | AMOS (Atomic macOS Stealer) — C++ Odyssey 变种 | | **架构** | Universal Mach-O (Intel x64 + ARM64) | | **初始访问** | 伪造的 CAPTCHA 页面 → 粘贴至终端 → 通过 `hdiutil attach -nobrowse` 静默挂载 DMG | | **暂存目录** | `~/.hlpr/` | | **持久化** | LaunchAgent `~/Library/LaunchAgents/com.hlpr.agent.plist` | | **配置加密** | XOR,8 字节循环密钥:`a9048cf1c9d113b6` | | **字符串加密** | SIMD XOR,32 字节密钥:`8111edf01ac6cb5c77e249d4e84fd92a85b5e89c2e2bef92fbe00b6f1cc2aa8e` | | **构建信息** | Build ID: 123 \| 活动: 25 \| 构建名称: noname3 | | **C2 端点** | `/api/reports/upload` \| `/api/agent/download` \| `/api/download/app-bundle` | ### 功能 | 类别 | 详情 | |---|---| | **凭证钓鱼** | 伪造的 osascript“系统偏好设置”对话框;通过 `dscl . -authonly` 进行验证 | | **浏览器数据窃取 (Chromium)** | Arc, Brave, Chrome, Edge, Opera, Vivaldi, Yandex, CocCoc — cookies、登录数据、网络数据 | | **浏览器数据窃取 (Firefox)** | LibreWolf, SeaMonkey, Tor Browser, Waterfox, Zen — cookies.sqlite、logins.json | | **钱包扩展** | 201 个浏览器加密钱包扩展目录 | | **独立钱包** | Electrum, Exodus, Atomic, Bitcoin Core, Litecoin Core, DashCore, Guarda, Dogecoin, Binance, TonKeeper, Wasabi, Electron Cash, Electrum-LTC | | **即时通讯** | Telegram, Discord(包括通过 discord Safe Storage 获取的 keychain 密钥) | | **额外收集** | Apple Notes、Safari cookies、macOS 登录 keychain、用户文档 (PDF/TXT/RTF) | | **数据外发** | 通过 `curl POST` 发送至 C2 `/api/reports/upload`,附带 `user_id` 和 `build_tag` 参数 | | **供应链劫持** | 通过 `ditto -x -k` 对 `/Applications` 中的 Ledger Live 和 Trezor Suite 进行木马化 | ### 攻陷指标 #### 网络 | 类型 | 指标 | |---|---| | IP | `178.16.52[.]101` | | IP | `196.251.107[.]171` | | 域名 | `svs-verificationdate[.]beer` | | 域名 | `fewfwfwfwfwf[.]info` | | URL | `hxxp[:]//svs-verificationdate[.]beer/f0038a5f46720da5982b6984ceef10cf99359432e102b12a0b0657498d36f670` | | URL | `hxxps[:]//fewfwfwfwfwf[.]info` | | URL | `hxxp[:]//196.251.107[.]171:3000` | #### 文件哈希 | 文件 | SHA-256 | |---|---| | s.01M0td.dmg | `25b6fc4f9c54a28ba7bfc4dfeafb62c99b59ea6f0d17679219b876b321965095` | | NNApp.app (bundle) | `067ad6221b2224d5cdb64e51c5516132d820cf4d7edf9ec170643943e79c04b7` | | Mach-O x64 | `d6f479736ba55d3c4e895c4940d035cf772f3192fb8dc496f09a801aed16d970` | | Mach-O ARM64 | `833008c03d40422192051584d829d730497108bef31751cceb0cc043dd96bbfb` | #### 主机痕迹 | 类型 | 路径 | |---|---| | 暂存目录 | `~/.hlpr/` | | 所有权文件 | `~/.hlpr/User Name.txt` | | 系统配置文件 | `~/.hlpr/System Information.txt` | | 持久化 | `~/Library/LaunchAgents/com.hlpr.agent.plist` | | 初始下载 | `/private/tmp/s.01M0td.dmg` | | 挂载的卷 | `/Volumes/NNApp/NNApp.app` | | Bundle identifier | `com.utils.nnapp` | ## 许可协议 © Bhargav Rathod。保留所有权利。
标签:DAST, 出版物, 域环境安全, 威胁情报, 开发者工具, 恶意软件分析, 数字取证, 自动化脚本