中断后,野外的Mac后门突然又回来了

日期:2018-07-16 浏览:25

中断一段时间后,Mac恶意软件突然卷土重来,三个新发现的病毒株可以访问Web摄像机、密码密钥链以及感染机器上的几乎所有其他资源。

第一个被防病毒提供商Bitdefender的研究人员称为Eleanor的应用程序隐藏在EasyDoc Converter中,EasyDoc Converter是一个恶意应用程序,它可以或者至少可以在名为MacUpdate的软件下载网站上获得。双击时,EasyDoc会无声地安装后门,提供对Mac文件系统和网络摄像头的远程访问,使攻击者能够下载文件、安装新应用程序和监视位于受感染机器前面的用户。埃莉诺通过Tor匿名服务与控制服务器通信,以防止它们被击落或被用来识别攻击者。Bitdefender反恶意软件实验室技术负责人泰比里乌斯·阿欣特在周三发表的一篇博客文章中说:“

这种恶意软件特别危险,因为它很难被发现,并让攻击者完全控制被破坏的系统。例如,有人可以将您锁定在笔记本电脑之外,威胁勒索您恢复您的私人文件,或将您的笔记本电脑转换为僵尸网络来攻击其他设备。有趣的是,Eleanor发现Mac运行的是小飞贼,这是一个可以监控和控制应用程序访问互联网的应用程序防火墙,来自同为反病毒提供商的Malwarebytes的研究人员在他们周三的博客文章中报道。

最近发现的第二个Mac恶意软件包称为Keydnap。其主要功能是抽取存储在Mac钥匙串功能中的密码和密钥。开发人员公开从keykhaindump中提取代码,这是一个概念验证应用程序,当攻击者知道Mac的密码时,它可以简化钥匙链内容的过滤。和埃莉诺一样,Keydnap也使用Tor联系指挥和控制服务器。披露新恶意应用程序的AV提供商Eset的研究人员发现,Keydnap开发人员利用一个巧妙的技巧来增加最终用户安装恶意软件的机会。从zip文件解压缩后,安装文件包含一个Mach - O可执行文件,它伪装成良性文本文档或图像文件。紧接着。txt或。jpg扩展,开发人员添加了一个空格字符。因此,双击该文件将在Mac终端窗口中启动该文件,然后在该窗口中执行该文件。

目前还不清楚Keydnap是如何分发的。附加到垃圾邮件或从不受信任的站点下载的恶意文件有两种可能。

第三个恶意Mac应用程序在技术上被归类为广告软件,因为它目前只不过是在受感染的机器上注入一连串的弹出广告。从技术上说,最近发现的Pirrit是今年早些时候首次发现的应用程序的变体。不过,Pirrit安装了后门,让它可以做开发人员想要做的几乎任何事情。

攻击者可以使用OSX内置的功能。安全公司赛博信( cybeason )研究人员阿米特·塞佩尔( Amit Serper )在周三发表的一份报告中写道,pirrit将安装一个键盘记录器,窃取你的登录凭证,或者窃取你公司的知识产权,以及其他许多不良后果。即使是Macs也容易受到威胁。

他接着说,4月份发布的移除脚本最近停止工作,因为广告软件已经变异。新变体中包含的代码使他相信它是由以色列营销公司TargetingEdge的某个人开发的。Mac产品主管Mac provides Mac Reed说,

进一步准备恶意软件开发人员如何能够绕过Mac网守而不真正尝试leanor,Keydnap只是今年迄今为止发现的第二和第三个成熟的Mac恶意软件,3月份发现的KeRanger密码传输软件是第一个。如果把Pirrit归在一起,这个数字将增加到4。当被问到突如其来的突如其来的突如其来的突峰时,他告诉Ars。

新披露的后门都没有苹果公司信任的签名证书。这意味着使用OS X默认设置的人会自动受到保护,这要归功于一种被称为看门人的安全功能。尽管攻击者可以通过简单的方式击败网关守护设备,但这些保护仍然提供了一层安全保护,可以大大降低Mac被成功感染的机会。用户只有仔细考虑决定后,才能更改默认设置。