Új MAC OS káros kód a MacKeeperben

CH azonosító

CH-12351

Angol cím

NEW MAC OS MALWARE EXPLOITS MACKEEPER

Felfedezés dátuma

2015.06.17.

Súlyosság

Közepes

Érintett rendszerek

Mac OS

Érintett verziók

Mac OS

Összefoglaló

Egy biztonsági rést fedeztek fel a MacKeeperben. A MacKeeper URL-kezelő hibája lehetővé teszi tetszőleges távoli kódfuttatást, amikor egy felhasználó meglátogat egy speciálisan szerkesztett weboldalt.

Leírás

A támadás egy adathalász e-mail érkezésével kezdődik, amely tartalmazza a rosszindulatú URL-t. Miután a felhasználó rákattintott az URL-re a MacKeeper egy párbeszéd ablak segítségével jelzi, hogy fertőzött malwaret talált, és kéri a jelszót az eltávolításához. A tényleges ok azonban az, hogy a malware az admin jogot szeretné ezáltal megszerezni.

Backdoor funkciók:

A távoli hozzáférést egy robothálózat segítségével teszi lehetővé.

Amely a következő műveleteket végzi el:

  • Csatornát nyít és végrehajtja a shell parancsokat
  • Fájlokat tölt fel a C&C szerverre
  • Fájlokat tölt le a C&C szerverről
  • Beállítja a végrehajtási jogosultságokat, és lefuttatja a letöltött fájlokat

A robothálózat összegyűjti a rendszer adatait, mint például:

  • Folyamatok listáját, és azok állapotát
  • Az operációs rendszer nevét és verzióját
  • Felhasználó nevet
  • A rendelkezésre álló VPN kapcsolatokat 

Az adatokat a hálózaton egy titkosított véletlenszerű 4 bájtos XOR kulccsal hajtja végre. A kulcs használatával létrehozott Mersenne Twister algoritmust.

Megoldás

Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se

Megoldás

A Mackeeper azonnali eltávolítását javasoljuk!