新技术论坛
搜索
查看: 720|回复: 0
打印 上一主题 下一主题

[漏洞信息] Mac用户新威胁-恶意木马程序 Keydnap,窃取用户信息

[复制链接]
  • TA的每日心情
    开心
    2016-12-9 18:18
  • 签到天数: 85 天

    连续签到: 1 天

    [LV.6]常住居民II

    扫一扫,手机访问本帖
    楼主
    跳转到指定楼层
    发表于 2016-7-15 21:37:07 来自手机 | 只看该作者 |只看大图 回帖奖励 |正序浏览 |阅读模式
    Keydnap窃取用户账户信息
    近日,Bitdefender安全研究人员发现了针对Mac系统使用Tor打开后门程序的Eleanor 木马,ESET也揭露了一个通过Tor2Web服务器来窃取用户账户密码的类似后门的特洛伊木马程序-Keydnap。



    Keydnap,这款针对Mac用户的新木马程序,首次发现是在今年5月份为1.3.1的版本,第二次是在6月份更新为1.3.5的版本。它的操作方法很简单,虽然感染链很长,但仅需几步即可完成。

    常见方式: Keydnap常伪装成图片或者文本文件
    当用户收到一封包含压缩文件的邮件时,解压文件初看是一个图片或者文本文件,实际上在文件的扩展名后有一个空格隐藏着,而该文件是一个使用了假图标的Mach-O可执行文件,由于Mac OS 默认这种文件为终端执行文件,这意味着在双击打开图片或文档的同时,恶意程序也在终端环境下被运行。


    这种恶意程序的一系列操作都在控制台里运行。该文件先下载另一个组件,实际上是Keydnap后门程序。然后执行后门程序,并作为LaunchAgent安装来获得持续启动,然后伪装成图片或者文件下载下来并显示给用户。



    在此之后,这种恶意行为移动到在当前用户下运行的Keydnap上,而且还试图通过弹窗请求用户凭证来获取root权限。



    Keydnap似乎针对的是安全研究人员
    ESET发现Keydnap使用一个名为Keychaindump的GitHub项目的代码来转储Mac密码管理系统内容。它通过Tor2Web 的HTTPS 隐秘网关onion.to 与远程C&C服务器进行通信,并用于不同样本中的两个onion地址。ESET表示基于诱饵图片木马显示给用户的是在感染的早期阶段。



    最近发现的诱饵样本文件也是各种截图文件,如僵尸网络的管理界面和信用卡号码的数据信息等,这些诱饵图片只有信息安全专业人士才会感兴趣。这说明了Keydnap 针对的攻击目标可能是一些安全研究人员。


    诱饵文件1



    诱饵文件2


    除了从被感染的Mac机上窃取密码之外,Keydnap还可以从远程URL下载和执行文件,如下载和执行Python脚本,执行shell命令,报告结果,并更新后门程序版本。

    但有一些地方令安全研究人员感到困惑,一是目前不知道Keydnap是如何分布的,二是不知道究竟有多少受害者。尽管有多重安全机制在OS X上来减轻恶意软件,它可能欺骗用户通过更换Mach-O文件的图标来执行non-sandboxed的恶意代码。





    高级模式
    B Color Image Link Quote Code Smilies

    本版积分规则

    手机版|Archiver|开发者俱乐部 ( ICP/ISP证:辽B-2-4-20110106号 IDC证:辽B-1-2-20070003号 )

    GMT+8, 2024-12-23 22:55 , Processed in 0.131869 second(s), 22 queries .

    X+ Open Developer Network (xodn.com)

    © 2009-2017 沈阳讯网网络科技有限公司

    快速回复 返回顶部 返回列表