来自Bitdefender的安全研究员发现一种新型恶意软件家族,通过Mac OS X系统上的洋葱网络开设后门。
这款恶意软件的技术名称为Backdoor.MAC.Eleanor,目前其创建者正在将其当做一款app即EasyDoc转换器进行传播。这款app允许用户通过将文件拖拽到小窗口的方式转换文件。
研究人员指出,这款app只会下载并运行恶意脚本。恶意脚本会在开始阶段安装并注册三种新型组件:洋葱隐藏服务、一种PHP网络服务、以及一种Pastebin客户端。
恶意软件为Mac创建地址
洋葱服务会自动将受感染的计算机连接到洋葱网络,并且生成一个.onion地址,攻击者可通过该地址只需利用一个浏览器就访问用户系统。
PHP网络服务是该连接的接收端,同时担负着将从犯罪分子控制面板中接收到的命令转换为本地Mac操作系统的任务。这时,Pastebin就会进行干涉,因为它会拿走本地生成的.onion域名并将其上传到一个Pastebin URL中。该域名经过RSA和64位算法的加密。犯罪分子能够访问这个Pastebin连接,并且为新进入其僵尸网络的域名进行解析。
后门提供多种远程管理选项
研究人员指出,Backdoor.MAC.Eleanor允许犯罪分子导航并跟本地文件系统进行交互,推出逆向shell来执行根命令,并且推出并执行所有类型的PHP、PERL、Python、Ruby、Java或C脚本。
此外,攻击者还能够列出本地运行的app,利用受感染的计算机发送邮件、将其作为连接并管理数据库的中介点,并且扫描开放端口的远程防火墙。
受感染的计算机本质上会成为犯罪分子僵尸网络中的一个僵尸。该僵尸网络可随时发动大规模的垃圾邮件、从受感染系统中窃取敏感信息、将其当做一个DDoS僵尸使用,或者安装其它恶意软件。