Palo Alto Networks最近报道了第一款Mac平台勒索软件后,而比特梵德的研究人员最近又发现了第二款恶意软件。这款恶意软件被命名为Backdoor.MAC.Eleanor或者OSX/Eleanor-A,这个病毒伪装成无害的文件转换程序,出现在很多值得信赖的下载网站上。
比特梵德实验室在他们的报告中解释称,这款恶意软件伪装成EasyDoc Coverter.app。而软件本身没有任何功能,只有一个拖拽功能来伪装实现简单的文件转换。
在这伪装的程序下面是一个能够窃取数据、执行恶意代码甚至控制用户摄像头的恶意软件。
“这个后门文件被植入到了一个假的文件转换程序中,这款程序在很多值得信赖的Mac程序下载网站都有下载。软件本身没有任何真正的功能,只有一个拖拽功能来伪装实现简单的文件转换,除此之外只会下载一段恶意脚本。”
恶意行为
程序启动后,就会安装一个隐藏Tor服务用来进行命令与控制(Command and Control, C2)、一个web服务,还有个Pastebin代理。
建立web服务后,黑客就能够完全控制感染主机。web服务在本地建立,能够通过暗网的“onion”地址访问。输入正确密码后,黑客就能进入到一个基于web的控制面板,其中包含以下功能:
文件管理器 (浏览、编辑、重命名、删除、上传、下载、压缩文件)
命令执行
脚本执行(执行的脚本包括PHP, PERL, Python, Ruby, Java, C)
连接Bind shell或者反弹shell(远程执行root命令)
简单的数据包构造器 (调查防火墙规则,寻找目标系统/网络的入口)
连接管理数据库
进程管理器(获取系统中运行的进程)
发送带附件的邮件
命令与控制服务可以用来管理web服务,还有一些其他的功能,包括黑客界的瑞士军刀Netcat还有Wacaw,一款用来用你的摄像头拍照或录像的命令行工具。
Bitdefender技术主管Tiberius Axinte称,“这种恶意软件特别危险,因为它很难检测,而且能够让攻击者完全控制系统。比如,黑客可以锁定你的笔记本,用你的私人文件勒索你,或者把你的笔记本变成僵尸网络来攻击其他设备。什么都有可能。”
不过,这款程序没有苹果开发者ID签名,所以除非你在系统的安全设定里特地允许运行,否则不会安装到系统。
尽管有这样的安全机制,如果黑客能够获取到开发者签名的加密密钥,那这种机制就无效了。
最后调查:你的笔记本摄像头是怎么处理的?
发表评论: