網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)了新的Mac惡意軟件，它可以鎖定人們的文件并為僵尸網(wǎng)絡(luò)招募他們的筆記本電腦。被稱為“Backdoor.MAC.Eleanor”的惡意軟件被Bitdefender發(fā)現(xiàn)，它是第二個(gè)專門(mén)針對(duì)Mac OS X的漏洞 - 第一個(gè)是3月份發(fā)現(xiàn)的KeRanger勒索軟件。

Bitdefender在忙碌的軟件門(mén)戶網(wǎng)站MacUpdate上發(fā)現(xiàn)了Eleanor，偽裝成一款名為“EasyDoc Converter”的免費(fèi)應(yīng)用程序。它聲稱將用戶的FreeOffice和SimpleStats文檔轉(zhuǎn)換為Microsoft Office(.docx)文件，但在運(yùn)行時(shí)沒(méi)有執(zhí)行此類操作。

相反，它為黑客提供了一種勒索用戶并控制其設(shè)備的方法。

Bitdefender反惡意軟件實(shí)驗(yàn)室的技術(shù)負(fù)責(zé)人Tiberius Axinte說(shuō)：“這種類型的惡意軟件特別危險(xiǎn)，因?yàn)樗茈y被發(fā)現(xiàn)并且讓攻擊者完全控制受損系統(tǒng)。”“例如，某人可能會(huì)將您鎖定在您的筆記本電腦之外，威脅要勒索您恢復(fù)您的私人文件或?qū)⒛墓P記本電腦轉(zhuǎn)換為僵尸網(wǎng)絡(luò)以攻擊其他設(shè)備。”

此后，MacUpdate阻止了其網(wǎng)站上的軟件。此外，該應(yīng)用程序尚未獲得分配給注冊(cè)Apple開(kāi)發(fā)人員的證書(shū)。對(duì)于Mac用戶，這意味著他們暴露于惡意軟件會(huì)稍微困難一些，因?yàn)槟J(rèn)情況下，Mac OS X無(wú)法打開(kāi)或安裝未經(jīng)認(rèn)證的應(yīng)用程序。但是，提交的用戶可以繞過(guò)安全措施。

當(dāng)應(yīng)用程序運(yùn)行時(shí)，它首先檢查是否存在在線登記掩碼，Little Snitch。如果找不到此應(yīng)用程序，則會(huì)將惡意代碼下載到用戶的計(jì)算機(jī)上。

惡意軟件在用戶的主文件夾中安裝三個(gè)Mac LaunchAgent，以及一個(gè)包含可執(zhí)行文件的隱藏文件夾。

LaunchAgents文件命名為Dropbox片段，包括：

~/Library/LaunchAgents/com.getdropbox.dropbox.integritycheck.plist

~/Library/LaunchAgents/com.getdropbox.dropbox.timegrabber.plist

~/Library/LaunchAgents/com.getdropbox.dropbox.usercontent.plist

~/Library/.dropbox/

根據(jù)Bitdefender的說(shuō)法，這三個(gè)LaunchAgents文件激活了Tor隱藏服務(wù)，一個(gè)Web服務(wù)和一個(gè)Pastebin代理。

Pastebin代理將受害者的Tor地址列入Pastebin文本存儲(chǔ)庫(kù)，攻擊者可以在其中檢索它。

使用Eleanor惡意軟件的黑客可以訪問(wèn)計(jì)算機(jī)的文件系統(tǒng)和管理員數(shù)據(jù)庫(kù)，遠(yuǎn)程執(zhí)行腳本，并劫持電子郵件和電子郵件附件。

Bitdefender的報(bào)告聲稱此惡意軟件于4月19日首次上傳到Pastebin - 惡意軟件似乎已于3月16日在MacUpdate上列出。

來(lái)自網(wǎng)絡(luò)安全公司的建議是從信譽(yù)良好的網(wǎng)站或直接從開(kāi)發(fā)人員下載應(yīng)用程序，并避免舊的或遺棄的應(yīng)用程序。