新的Mac Backdoor计划窃取钥匙串内容
研究人员已经确定了一个新的Mac BackDoor计划,该计划设计用于窃取存储在OS加密的钥匙链中的凭据,并为系统提供攻击者。
由AntiVirus供应商ESET的研究人员被称为OSX / keyDnap,这是过去几天杀毒公司发现的MAC的第二个后门程序。
它不清楚如何分发keydnap,但它以zip存档形式到达计算机。内部有一个可执行文件,具有明显良性的扩展,例如.txt或.jpg实际上有一个末尾的空格字符。该文件还有一个图标,指示图像或文本文件。
在Finder中打开此恶意文件实际上在终端应用程序中执行其代码。执行情况非常快,终端窗口只闪烁一下。好消息是,如果文件从Internet下载,并且在最新版本的OS X上打开网守安全功能,则会自动执行文件,用户将看到安全警告。
但是,如果执行代码,它将下载并安装名为iCloudsyncd的后门组件,该组件连接到TOR匿名网络上的命令和控制信道。如果它具有root访问权限,则此组件还突出自身以每次重新启动Mac时启动。
获取root访问权限的方式也很有趣。它将等到用户运行不同的应用程序,它将立即产生一个窗口询问用户凭据,就像窗口操作系统X用户通常会看到应用程序需要管理员权限时。
BackDoor可以从控制服务器接收命令以更新自身,以便下载和执行文件和脚本,执行shell命令并发送回输出。它还包括窃取OS X Keychain内容的组件。
此组件似乎基于在GitHub上发布的开源验证代码。它读取了SecurityD OS X服务的内存,它处理钥匙链访问,并搜索钥匙串解密密钥。一旦它具有此键,它可以抵消存储在内部的用户凭据。
虽然用恶意软件感染MAC可以比PC更困难,但特别是在最新版本的OS X随着所开启的所有安全功能,KEYDNAP显示攻击者仍然可以提出创造性的方式来欺骗用户并利用他们的习惯。