close
企業趨勢資訊保安

偽裝免費文件轉換軟件入侵 惡意軟件用 Tor 為 OS X 系統開後門

去年有安全研究團隊的報告指 2015 年針對 Mac 的惡意軟件數目已多於過往五年總和,意味著 Mac 已經成為了黑客的新目標,用戶們絕不能因 Mac OS 系統比較安全的印象而掉以輕心。近日安全軟件公司 Bitdefender 在 Mac OS X 系統上發現一款新型的惡意軟件,該軟件透過偽裝成免費文件轉換軟件的方式,利用 Tor 網絡服務暗中植入後門,令用戶的裝置變成「殭屍網絡」的一份子。

mac-virus

 

偽裝免費軟件散佈 EasyDoc 利用 Tor 服務暗植系統後門

該惡意軟件的技術名稱為 Backdoor.MAC.Eleanor,製作者透過發布名為 EasyDoc Converter 的文件檔案格式轉換軟件,宣稱可用 Drag & Drop 的方式將 FreeOffice 和 SimpleStats 檔案轉換為 Microsoft Office 檔案,欺騙用戶下載感染裝置。而該款惡意軟件目前仍能透過搜尋引擎找到下載頁面。

螢幕擷取畫面 (136)

Bitdefender 安全研究團隊表示,實際上該款軟件只會下載並運行惡意腳本,當其成功運行後便會安裝並註冊 Tor 隱藏服務、PHP 網頁服務和 Pastebin 三項組件伴隨系統啟動運行。

利用 Tor 服務,惡意軟件可令感染裝置自動連接到 Tor 網絡,並生成一組 .onion 域名使攻擊者僅使用瀏覽器即可控制及存取感染裝置的系統。而 PHP 網頁服務則負責連接和接收黑客發出的指令,並轉譯為可執行命名操控感染系統。

Attacker control panel

使用 Pastebin 代理的作用則在於利用 RSA 和 base64 加密算法加密 Pastebin URL 後,透過代理獲取感染裝置生成的 .onion 域名再上傳到網絡加強隱蔽性。

 

後門可執行各類遠端指令 感染裝置成殭屍網絡一員

Bitdefender 研究團隊指出,Backdoor.MAC.Eleanor 允許攻擊者操控本機檔案系統,運行反向 shell (Reverse shell) 執行 shell 命令,以及各類 PHP、PERL、Python、Ruby、Java、C 等腳本。

此外,攻擊者還可瀏覽所有運行中的應用程式,使用感染的裝置發送 Email,作為連接管理員數據庫的中轉點及掃描遠端防火牆的開放端口。受感染的裝置基本上已是殭屍網絡的一員,隨時會被盜取敏感資料及用作發送大量垃圾郵件以致發動 DDoS 攻擊及安裝更多惡意軟件。

Mac Backdoor Malware

 

Source: Softpedia  Bitdefender Labs

 

Tags : backdoorBonetMacmalware
Ken Li

The author Ken Li

世事洞明皆學問,人情練達即文章。