24.07.2016, 21:23
Nowy malware, nazwany przez ekspertów Bitdefendera Backdoor.MAC.Eleanor, wystawia systemy Apple na cyber-szpiegostwo i pozwala na pełną, anonimową kontrolę ze strony osób atakującego.
Skrypt instaluje się i dodaje do rejestru Ukryte usługi TOR-a aby atakujący mógł się łączyć z komputerem bez wiedzy użytkownika, przez anonimowe połączenie z przeglądarki TOR.
Następnie lokalny serwer WWW dubluje Web Service (PHP) - za pośrednictwem generowanego przez Tor adresu.
Usługa WWW (PHP)
Składnik ten działa jako centrum Control & Comand i daje atakującemu pełną kontrolę nad zainfekowanym komputerem. Usługa internetowa jest skonfigurowana lokalnie i może być dostępna za pośrednictwem adresu "cebuli" (ikonka przeglądarki TOR).
• Menedżer plików (przeglądanie, edytowanie, zmiana nazwy, usuwanie, przesyłanie, pobieranie i plików archiwum)
• Wykonywanie poleceń na komputerze (wykonuje zapytania)
• Wykonywanie skryptów ( w PHP, Perl, Python, Ruby, Java, C)
• Zdalne wykonywanie poleceń Roota poprzez skrypty napisane w Shell'u
• Sondowanie zapory sieciowej, zestawu reguł w poszukiwaniu punktów wejścia do atakowanego systemu lub sieci za pomocą prostego kreatora pakietów
• Podłączenie się i administrowanie bazami danych
• Lista Procesów / Menedżer zadań (możliwość otworzenia listy procesów i aplikacji działających w systemie)
• Wysyłanie wiadomości e-mail z załączonymi plikami
Konsola sterowania atakującego
Malware korzysta z narzędzia "wacaw" aby robić zrzuty ekranu oraz video z wbudowanych kamer
Korzysta także z daemona, aby pobrać aktualizacje, przesłać pliki z komputera użytkownika lub wykonuje skrypty napisane w Shell'u.
Pastebin Agent
Każdy zainfekowany komputer ma unikalny adres Tora, którego atakujący używa do łączenia się i pobrania oprogramowania. Wszystkie te adresy są zaszyfrowane za pomocą klucza publicznego z wykorzystaniem algorytmów RSA i base64 i przesłane na pastebin.com gdzie są przechowywane.
"Ten rodzaj złośliwego oprogramowania jest szczególnie niebezpieczny, ponieważ jest trudny do wykrycia i daje atakującemu pełną kontrolę nad zainfekowanym systemem", mówi Tyberiusz Axinte, kierownik techniczny, Bitdefender Antimalware Lab. "Na przykład, ktoś może zablokować Wam laptopa, grożąc i szantażując, że wykorzysta Wasze prywatne plik lub przekształci Wasz laptop na bota i zacznie atakować inne urządzenia. Możliwości są nieskończone."
Ta aplikacja nie jest podpisana cyfrowo przez firmę Apple. Ze względów bezpieczeństwa, Bitdefender zaleca pobieranie aplikacji wyłącznie z renomowanych stron internetowych.
Źródło: Bitdefender
[Aby zobaczyć linki, zarejestruj się tutaj]
Backdoor jest osadzony w fałszywej aplikacji do konwertowania plików tekstowych, która jest dostępna w Internecie na renomowanych witrynach oferujących aplikacje i oprogramowanie dla systemów Mac. EasyDoc Converter.app wygląda jak konwerter plików z opcją „drag-and-drop”, ale nie jest to jego prawdziwa funkcja, naprawdę pobiera szkodliwy skrypt.Skrypt instaluje się i dodaje do rejestru Ukryte usługi TOR-a aby atakujący mógł się łączyć z komputerem bez wiedzy użytkownika, przez anonimowe połączenie z przeglądarki TOR.
Następnie lokalny serwer WWW dubluje Web Service (PHP) - za pośrednictwem generowanego przez Tor adresu.
Usługa WWW (PHP)
Składnik ten działa jako centrum Control & Comand i daje atakującemu pełną kontrolę nad zainfekowanym komputerem. Usługa internetowa jest skonfigurowana lokalnie i może być dostępna za pośrednictwem adresu "cebuli" (ikonka przeglądarki TOR).
[Aby zobaczyć linki, zarejestruj się tutaj]
Po uwierzytelnieniu z prawidłowym hasłem, atakujący uzyskuje dostęp do internetowego panelu sterowania z następującymi możliwościami:• Menedżer plików (przeglądanie, edytowanie, zmiana nazwy, usuwanie, przesyłanie, pobieranie i plików archiwum)
• Wykonywanie poleceń na komputerze (wykonuje zapytania)
• Wykonywanie skryptów ( w PHP, Perl, Python, Ruby, Java, C)
• Zdalne wykonywanie poleceń Roota poprzez skrypty napisane w Shell'u
• Sondowanie zapory sieciowej, zestawu reguł w poszukiwaniu punktów wejścia do atakowanego systemu lub sieci za pomocą prostego kreatora pakietów
• Podłączenie się i administrowanie bazami danych
• Lista Procesów / Menedżer zadań (możliwość otworzenia listy procesów i aplikacji działających w systemie)
• Wysyłanie wiadomości e-mail z załączonymi plikami
Konsola sterowania atakującego
Malware korzysta z narzędzia "wacaw" aby robić zrzuty ekranu oraz video z wbudowanych kamer
Korzysta także z daemona, aby pobrać aktualizacje, przesłać pliki z komputera użytkownika lub wykonuje skrypty napisane w Shell'u.
Pastebin Agent
Każdy zainfekowany komputer ma unikalny adres Tora, którego atakujący używa do łączenia się i pobrania oprogramowania. Wszystkie te adresy są zaszyfrowane za pomocą klucza publicznego z wykorzystaniem algorytmów RSA i base64 i przesłane na pastebin.com gdzie są przechowywane.
[Aby zobaczyć linki, zarejestruj się tutaj]
Konsekwencje"Ten rodzaj złośliwego oprogramowania jest szczególnie niebezpieczny, ponieważ jest trudny do wykrycia i daje atakującemu pełną kontrolę nad zainfekowanym systemem", mówi Tyberiusz Axinte, kierownik techniczny, Bitdefender Antimalware Lab. "Na przykład, ktoś może zablokować Wam laptopa, grożąc i szantażując, że wykorzysta Wasze prywatne plik lub przekształci Wasz laptop na bota i zacznie atakować inne urządzenia. Możliwości są nieskończone."
Ta aplikacja nie jest podpisana cyfrowo przez firmę Apple. Ze względów bezpieczeństwa, Bitdefender zaleca pobieranie aplikacji wyłącznie z renomowanych stron internetowych.
Źródło: Bitdefender