Összefoglaló
Egy biztonsági rést fedeztek fel a MacKeeperben. A MacKeeper URL-kezelő hibája lehetővé teszi tetszőleges távoli kódfuttatást, amikor egy felhasználó meglátogat egy speciálisan szerkesztett weboldalt.
Leírás
A támadás egy adathalász e-mail érkezésével kezdődik, amely tartalmazza a rosszindulatú URL-t. Miután a felhasználó rákattintott az URL-re a MacKeeper egy párbeszéd ablak segítségével jelzi, hogy fertőzött malwaret talált, és kéri a jelszót az eltávolításához. A tényleges ok azonban az, hogy a malware az admin jogot szeretné ezáltal megszerezni.
Backdoor funkciók:
A távoli hozzáférést egy robothálózat segítségével teszi lehetővé.
Amely a következő műveleteket végzi el:
- Csatornát nyít és végrehajtja a shell parancsokat
- Fájlokat tölt fel a C&C szerverre
- Fájlokat tölt le a C&C szerverről
- Beállítja a végrehajtási jogosultságokat, és lefuttatja a letöltött fájlokat
A robothálózat összegyűjti a rendszer adatait, mint például:
- Folyamatok listáját, és azok állapotát
- Az operációs rendszer nevét és verzióját
- Felhasználó nevet
- A rendelkezésre álló VPN kapcsolatokat
Az adatokat a hálózaton egy titkosított véletlenszerű 4 bájtos XOR kulccsal hajtja végre. A kulcs használatával létrehozott Mersenne Twister algoritmust.
Megoldás
A Mackeeper azonnali eltávolítását javasoljuk!
Támadás típusa
Information disclosure (Információ/adat szivárgás)Manipulation of data
Privilege escalation (jogosultság kiterjesztés)
System access (Rendszer hozzáférés)
backdoor
execute arbitrary code
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: baesystemsai.blogspot.ch
Egyéb referencia: www.heise.de
Egyéb referencia: www.pcworld.com