开发者俱乐部

标题: Mac用户新威胁-恶意木马程序 Keydnap,窃取用户信息 [打印本页]

作者: xman    时间: 2016-7-15 21:37
标题: Mac用户新威胁-恶意木马程序 Keydnap,窃取用户信息
Keydnap窃取用户账户信息
近日,Bitdefender安全研究人员发现了针对Mac系统使用Tor打开后门程序的Eleanor 木马,ESET也揭露了一个通过Tor2Web服务器来窃取用户账户密码的类似后门的特洛伊木马程序-Keydnap。



Keydnap,这款针对Mac用户的新木马程序,首次发现是在今年5月份为1.3.1的版本,第二次是在6月份更新为1.3.5的版本。它的操作方法很简单,虽然感染链很长,但仅需几步即可完成。

常见方式: Keydnap常伪装成图片或者文本文件
当用户收到一封包含压缩文件的邮件时,解压文件初看是一个图片或者文本文件,实际上在文件的扩展名后有一个空格隐藏着,而该文件是一个使用了假图标的Mach-O可执行文件,由于Mac OS 默认这种文件为终端执行文件,这意味着在双击打开图片或文档的同时,恶意程序也在终端环境下被运行。


这种恶意程序的一系列操作都在控制台里运行。该文件先下载另一个组件,实际上是Keydnap后门程序。然后执行后门程序,并作为LaunchAgent安装来获得持续启动,然后伪装成图片或者文件下载下来并显示给用户。



在此之后,这种恶意行为移动到在当前用户下运行的Keydnap上,而且还试图通过弹窗请求用户凭证来获取root权限。



Keydnap似乎针对的是安全研究人员
ESET发现Keydnap使用一个名为Keychaindump的GitHub项目的代码来转储Mac密码管理系统内容。它通过Tor2Web 的HTTPS 隐秘网关onion.to 与远程C&C服务器进行通信,并用于不同样本中的两个onion地址。ESET表示基于诱饵图片木马显示给用户的是在感染的早期阶段。



最近发现的诱饵样本文件也是各种截图文件,如僵尸网络的管理界面和信用卡号码的数据信息等,这些诱饵图片只有信息安全专业人士才会感兴趣。这说明了Keydnap 针对的攻击目标可能是一些安全研究人员。


诱饵文件1



诱饵文件2


除了从被感染的Mac机上窃取密码之外,Keydnap还可以从远程URL下载和执行文件,如下载和执行Python脚本,执行shell命令,报告结果,并更新后门程序版本。

但有一些地方令安全研究人员感到困惑,一是目前不知道Keydnap是如何分布的,二是不知道究竟有多少受害者。尽管有多重安全机制在OS X上来减轻恶意软件,它可能欺骗用户通过更换Mach-O文件的图标来执行non-sandboxed的恶意代码。










欢迎光临 开发者俱乐部 (http://xodn.com/) Powered by Discuz! X3.2