新的TOR-Powered Door Program Targets Macs
安全研究人员已经找到了一个新的后门程序,允许攻击者劫持MAC系统并将它们控制在TOR网络上。
来自防病毒供应商Bitdefender的研究人员,新的恶意软件已被称为Backdoor.Mac.EleheReanor,并通过提供Mac软件的信誉良好的网站作为文件转换器应用程序分发。
Rogue应用程序称为EasyDoc转换器。一旦安装,它会显示一个假界面,用户可以屏蔽和删除文件进行转换,但实际上不会做任何事情。
在后台中,应用程序执行一个shell脚本,该shell脚本在一个名为“/users/wuser/library/.dropbox”的文件夹中安装多个恶意组件。Dropbox名称用于使恶意软件更加困难到现货,并与合法的Dropbox文件同步软件无关。
eleanor恶意软件有三个组件:具有PHP应用程序的Web服务,一个隐藏服务,允许攻击者通过TOR匿名网络和将受感染系统发布到Pastebin网站的Tor Access URL的代理商连接到受影响的系统。
Web服务服务的PHP应用实际上是一个后门,允许攻击者在系统上查看,编辑,重命名,删除,上载,下载和存档文件;要执行在PHP,Perl,Python,Ruby,Java和C中编写的shell命令和脚本;打开攻击者的反向shell“服务器;连接到MySQL,SQLite和其他数据库;查看流程列表并将电子邮件发送与附件。此应用程序的另一个组件允许攻击者使用系统的网络摄像头捕获图像和视频。
Tor组件将计算机连接到TOR网络,并通过.onion URL使其流氓Web服务可访问。此类型的URL只能从Tor网络中访问。
Pastebin代理将带有系统的.onion URL,用RSA公钥加密它,并在Pastebin上发布攻击者可以找到并使用它的Pastebin。
Bitdefender研究人员识别的最古老的Pastebin帖子是由埃莉诺后门创建的4月19日。但该公司无法建立受感染机器的总数,因为不同的eleanor样本将URL上传到不同的Pastebin账户,并且他们没有所有的样品。
好消息是该应用程序未通过Apple批准的证书进行数字签名,因此如果您尝试安装它,用户将在最新的OS X版本上看到安全警告。在OS X EL Capitan(10.11)用户实际上需要执行手动覆盖以安装应用程序。
