安全研究人员已经找到了一个新的后门程序,允许攻击者劫持MAC系统并将它们控制在TOR网络上。
来自防病毒供应商BitDefender的研究人员,新的恶意软件已被称为Backdoor.Mac.EleheLeanor,并通过提供Mac软件的信誉良好的网站作为文件转换器应用程序分发。
流氓应用程序称为Easydoc转换器。一旦安装,它会显示一个假界面,用户可以猜测用户拖放文件以进行转换,但实际上没有任何操作。
在后台中,应用程序执行在名为“/users/wuser/library/.dropbox中的文件夹中安装多个恶意组件的shell脚本。Dropbox名称用于使恶意软件更加困难到现货并与之无关合法的Dropbox文件同步软件。
eleanor恶意软件有三个组件:具有PHP应用程序的Web服务,一个隐藏服务,允许攻击者通过TOR匿名网络和将受感染系统发布到Pastebin网站的Tor Access URL的代理商连接到受影响的系统。
Web服务服务的PHP应用程序实际上是一个后门,允许攻击者在系统上查看,编辑,重命名,删除,上载,下载和存档文件;要执行PHP,Perl,Python,Ruby,Java和C编写的shell命令和脚本;打开攻击者服务器的反向外壳;连接到MySQL,SQLite和其他数据库;要查看流程列表并发送带附件的电子邮件。此应用程序的另一个组件允许攻击者使用系统的网络摄像头捕获图像和视频。
Tor组件将计算机连接到Tor网络,并通过.onion URL使其流氓Web服务可访问。此类型的URL只能从Tor网络中访问。
Pastebin代理使用系统的.Onion URL,将其加密,使用RSA公钥加密,并在Pastebin上发布攻击者可以找到它并使用它的Pastebin。
Bitdefender研究人员识别的最古老的Pastebin帖子是由Eleanor Backdoor创建的。但是该公司无法建立受感染的机器的总数,因为不同的eleanor样本将URL上传到不同的Pastebin账户,但他们没有所有样本。
好消息是该应用程序未通过Apple批准的证书进行数字签名,因此如果他们尝试安装它,用户将在最新的OS X版本上看到安全警告。在OS X EL Capitan(10.11)用户实际上需要执行手动覆盖以安装应用程序。