2015 年有安全研究团队的报告指 2015 年针对 Mac 的恶意软件数目已多于过往 5 年总和,意味着 Mac 已经成为了骇客的新目标,用户们绝不能因 Mac OS 系统比较安全的印象而掉以轻心。近日安全软件公司 Bitdefender 在 Mac OS X 系统上发现一款新型的恶意软件,该软件透过伪装成免费文件转换软件的方式,利用 Tor 网络服务暗中植入后门,让用户的装置变成“僵尸网络”的一分子。
该恶意软件的技术名称为 Backdoor.MAC.Eleanor,制作者透过发布名为 EasyDoc Converter 的文件档案格式转换软件,宣称可用 Drag & Drop 的方式将 FreeOffice 和 SimpleStats 档案转换为 Microsoft Office 档案,欺骗用户下载感染装置。而该款恶意软件目前仍能透过搜索引擎找到下载页面。
Bitdefender 安全研究团队表示,实际上该款软件只会下载并运行恶意脚本,当其成功运行后便会安装并注册 Tor 隐藏服务、PHP 网页服务和 Pastebin 3 项组件伴随系统启动运行。
利用 Tor 服务,恶意软件可让感染装置自动连接到 Tor 网络,并生成一组 .onion 域名使攻击者仅使用浏览器即可控制及存取感染装置的系统。而 PHP 网页服务则负责连接和接收骇客发出的指令,并转译为可执行命名操控感染系统。
使用 Pastebin 代理的作用则在于利用 RSA 和 base64 加密算法加密 Pastebin URL 后,透过代理获取感染装置生成的 .onion 域名再上传到网络加强隐蔽性。
后门可执行各类远端指令 感染装置成僵尸网络一员
Bitdefender 研究团队指出,Backdoor.MAC.Eleanor 允许攻击者操控本机档案系统,运行反向 shell(Reverse shell)执行 shell 命令,以及各类 PHP、PERL、Python、Ruby、Java、C 等脚本。
此外,攻击者还可浏览所有运行中的应用程序,使用感染的装置发送 Email,做为连接管理员数据库的中转点及扫描远端防火墙的开放端口。受感染的装置基本上已是僵尸网络的一员,随时会被盗取敏感资料及用作发送大量垃圾邮件以致发动 DDoS 攻击及安装更多恶意软件。
- New Malware Uses Tor to Open Backdoor on Mac OS X Systems
- New Backdoor Allows Full Access to Mac Systems, Bitdefender Warns
(本文由 Unwire Pro 授权转载)
