🏃💨 Subway Surfers - Official Launch Trailer
研究人员发现了一种新的Mac后门程序,旨在窃取存储在操作系统加密钥匙串中的凭证,并使攻击者可以控制系统。
由防病毒供应商ESET的研究人员翻译了OSX / Keydnap,是针对反病毒公司在过去几天发现的Mac的第二个后门程序。
Keydnap是如何分发的,但它不是以zip存档的形式到达计算机。里面有一个可执行文件,带有明显的良性扩展名,例如.txt或.jpg,最后实际上具有空格字符。该文件还有一个指示图像或文本文件的图标。
[更多阅读:如何从Windows PC删除恶意软件]在Finder中打开这个恶意文件实际上是在终端应用程序中执行其代码。执行发生得非常快,终端窗口闪烁了一下。好消息是,如果文件是从互联网下载的,并且最新版本的OS X上的Gatekeeper安全功能打开,则该文件将不会自动执行,并且用户将看到安全警告。
然而, ,如果代码被执行,它将下载并安装称为icloudsyncd的后门组件,后者通过Tor匿名网络连接到命令和控制通道。如果它具有超级用户访问权限,则此组件也会将其自身配置为在每次重新启动Mac时启动。
尝试获取超级用户权限的方式也很有趣。它会一直等到用户运行不同的应用程序时,它会立即生成一个窗口,询问用户的凭据,就像OS X用户通常在应用程序需要管理员权限时看到的窗口一样。
后门程序可以接收来自控件的命令服务器更新自身,下载并执行文件和脚本,执行shell命令并发回输出。它还包含一个盗取OS X钥匙串内容的组件。
该组件似乎基于GitHub上发布的开源概念验证代码。它读取处理钥匙串访问的安全OS X服务的内存,并搜索钥匙串解密密钥。一旦拥有此密钥,它就可以泄露存储在其中的用户凭据。
使用恶意软件感染Mac可能比PC更难,特别是在打开所有安全功能的最新版OS X中,Keydnap表明攻击者可以仍然想出创造性的方式来欺骗用户并利用他们的习惯。
