Backdoor greift Macs über Tor-Netz an

Die Experten von Bitdefender haben eine auf Mac OS X ausgerichtete Backdoor entdeckt, die es Angreifern ermöglicht, die vollständige Kontrolle über das System mit anonymem Zugriff über das Netzwerk Tor zu erhalten. Der Schädling ist nicht mit einem Apple-Zertifikat signiert und kann daher auch nur in dem Fall unbemerkt durchflutschen, wenn der Nutzer den Gatekeeper deaktiviert hat.

Der Mac-Schädling, der als Backdoor.MAC.Eleanor detektiert wird, verbreitet sich getarnt als EasyDoc Converter.app, eine Anwendung zur Konvertierung von Dateien, die in vielen spezialisierten Internet-Shops angeboten wird. Laut Aussage von Bitdefender setzt der gefakte Converter keine einzige der versprochenen Funktionen um, sondern führt stattdessen ein schädliches Skript aus, das unter dem irreführenden Namen Dropbox drei Eleanor-Komponenten installiert und registriert: den verborgenen Tor-Service , den Webserver mit PHP-Komponente und den Pastebin-Agenten.

Der lokale Server funktioniert wie ein C&C, er ermöglicht es Angreifern, verschiedene Aktionen auf dem Rechner des Opfers durchzuführen: Dateien einsehen, ändern, löschen up- und downloaden und archivieren; Befehle, Shell-Code und Skripte in PHP, PERL, Python, Ruby, Java und C ausführen; Veränderungen in den Datenbanken vornehmen (MySQL, SQLite und andere), die Einstellungen der Firewall überprüfen und einen Eintrittspunkt in des Zielnetzwerk suchen, die Liste der laufenden Prozesse und Anwendungen über den Taskmanager einsehen, Mails mit Anhängen verschicken. Eleanor verwendet zudem wacaw, ein Tool mit offenem Quellcode, zum Aufnehmen von Foto- und Videos über die Webkamera des Opfers.

„Dieser Malware-Typ ist besonders gefährlich, da er schwer zu erkennen ist, während er dem Angreifer die volle Kontrolle über das kompromittierte System gewährleistet“, unterstreicht Tiberius Axinte, Technischer Leiter vom Antimalware-Lab bei Bitdefender. „Beispielsweise kann man Ihnen den Zugriff auf Ihren Laptop entziehen, Sie erpressen, indem man mit der Offenlegung privater Dateien droht, oder Ihren Laptop an ein Botnetz anschließen und ihn bei Angriffen auf andere Geräte einsetzen. Die Möglichkeiten sind in diesem Fall grenzenlos.“

Die Tor-Komponente von Eleanor stellt eine Verbindung mit dem Passwort geschützten Steuerungspaneel her und verschafft dem Angreifer Zugriff auf das lokale C&C über eine einmalige URL, die vor Ort generiert und auf Pastebin gespeichert wird. Vor dem Abspeichern werden die generierten onion-Adressen mit base64 und einem offenen RSA-Schlüssel chiffriert. Der älteste in Pastebin gefundene Eintrag datiert auf den 19. April, allerdings ist es den Forschern, die in die Accounts vordrangen, nicht gelungen, die genaue Zahl der Infektionen festzustellen: Die Eleanor-Samples verwenden gesonderte Accounts, und Bitdefender verfügt nur über einige von ihnen.

„Die [schädliche] Anwendung ist nicht mit einem Apple-Zertifikat signiert“, kommentiert Thomas Reed von Malwarebytes. „In gewissem Sinne ist das gut, da sie dann schwerer zu öffnen ist (in der Standardeinstellung öffnet Mac OS X keine unsignierten Apps). Allerdings gibt es dabei auch einen negativen Aspekt: Versucht er es wirklich mit Nachdruck, gelingt es dem Anwender trotzdem, sie zu öffnen, und da sie keine Signatur hat, kann Apple die App auch nicht durch den Rückruf des Zertifikats deaktivieren.“

Quelle: Networkworld

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.