WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Xuất hiện mã độc sử dụng mạng Tor mở backdoor trên Mac OS X
Các nhà nghiên cứu vừa phát hiện một dòng mã độc mới sử dụng mạng ẩn danh Tor để mở backdoor trên hệ thống Mac OS X.
Mã độc Backdoor.MAC.Eleanor đang được phát tán đến nạn nhân qua EasyDoc Converter, một ứng dụng Mac cho phép người dùng chuyển đổi tập tin bằng cách kéo chúng qua một cửa sổ nhỏ.
Thực tế, ứng dụng chỉ tải và chạy một script độc hại sẽ cài và đăng ký ba thành phần mới lúc khởi động: dịch vụ ẩn Tor, dịch vụ Web PHP và máy khách Pastebin.
Backdoor.MAC.Eleanor tạo một địa chỉ .onion cho máy Mac
Dịch vụ Tor sẽ tự động kết nối máy tính bị lây nhiễm vào mạng Tor và tạo ra tên miền .onion, qua đó kẻ tấn công có thể truy cập vào hệ thống của người dùng bằng một trình duyệt.
Dịch vụ Web PHP là đầu cuối của kết nối, có nhiệm vụ thông dịch lệnh gửi từ bảng điều khiển của tin tặc đến hệ điều hành Mac cục bộ.
Đây là nơi mà máy khách Pastebin can thiệp, nhận và tải tên miền .onion lên URL Pastebin sau khi được mã hóa với khóa công cộng sử dụng các thuật toán RSA và base64. Tin tặc có thể truy cập liên kết Pastebin này, phân tích và thêm liên kết đó vào botnet của mình.
Backdoor cho phép rất nhiều tùy chọn quản lý từ xa
Theo Bitdefender, Backdoor.MAC.Eleanor cho phép tội phạm điều hướng và tương tác với hệ thống tập tin cục bộ, khởi động shell dịch ngược để thực thi các lệnh root, khởi động và thực thi tất cả các script PHP, PERL, Python, Ruby, Java, hoặc C.
Ngoài ra, kẻ tấn công cũng có thể liệt kê các ứng dụng đang chạy cục bộ, sử dụng máy tính bị lây nhiễm để gửi email, làm điểm trung gian để kết nối và quản lý cơ sở dữ liệu, và quét tường lửa từ xa tìm các cổng mở.
Về cơ bản, máy tính bị lây nhiễm trở thành một bot trong botnet của tin tặc, có thể được sử dụng bất cứ lúc nào để gửi đi các chiến dịch thư rác khổng lồ, đánh cắp dữ liệu nhạy cảm từ hệ thống bị lây nhiễm, sử dụng như một bot DDoS, hoặc cài đặt mã độc khác.
Dưới đây là hình ảnh hiển thị phía kẻ gian khi truy cập vào liên kết .onion trên Mac.
Theo Softpedia
Mã độc Backdoor.MAC.Eleanor đang được phát tán đến nạn nhân qua EasyDoc Converter, một ứng dụng Mac cho phép người dùng chuyển đổi tập tin bằng cách kéo chúng qua một cửa sổ nhỏ.
Thực tế, ứng dụng chỉ tải và chạy một script độc hại sẽ cài và đăng ký ba thành phần mới lúc khởi động: dịch vụ ẩn Tor, dịch vụ Web PHP và máy khách Pastebin.
Backdoor.MAC.Eleanor tạo một địa chỉ .onion cho máy Mac
Dịch vụ Tor sẽ tự động kết nối máy tính bị lây nhiễm vào mạng Tor và tạo ra tên miền .onion, qua đó kẻ tấn công có thể truy cập vào hệ thống của người dùng bằng một trình duyệt.
Dịch vụ Web PHP là đầu cuối của kết nối, có nhiệm vụ thông dịch lệnh gửi từ bảng điều khiển của tin tặc đến hệ điều hành Mac cục bộ.
Đây là nơi mà máy khách Pastebin can thiệp, nhận và tải tên miền .onion lên URL Pastebin sau khi được mã hóa với khóa công cộng sử dụng các thuật toán RSA và base64. Tin tặc có thể truy cập liên kết Pastebin này, phân tích và thêm liên kết đó vào botnet của mình.
Backdoor cho phép rất nhiều tùy chọn quản lý từ xa
Theo Bitdefender, Backdoor.MAC.Eleanor cho phép tội phạm điều hướng và tương tác với hệ thống tập tin cục bộ, khởi động shell dịch ngược để thực thi các lệnh root, khởi động và thực thi tất cả các script PHP, PERL, Python, Ruby, Java, hoặc C.
Ngoài ra, kẻ tấn công cũng có thể liệt kê các ứng dụng đang chạy cục bộ, sử dụng máy tính bị lây nhiễm để gửi email, làm điểm trung gian để kết nối và quản lý cơ sở dữ liệu, và quét tường lửa từ xa tìm các cổng mở.
Về cơ bản, máy tính bị lây nhiễm trở thành một bot trong botnet của tin tặc, có thể được sử dụng bất cứ lúc nào để gửi đi các chiến dịch thư rác khổng lồ, đánh cắp dữ liệu nhạy cảm từ hệ thống bị lây nhiễm, sử dụng như một bot DDoS, hoặc cài đặt mã độc khác.
Dưới đây là hình ảnh hiển thị phía kẻ gian khi truy cập vào liên kết .onion trên Mac.
Theo Softpedia
Chỉnh sửa lần cuối bởi người điều hành: