Controle remoto seguro para desktops convencionais e virtuais
Miscreants ter portado de cinco anos de idade XSLCmd spyware para OS X.
A versão para Windows do malware tem sido em torno desde 2009, ea edição Apple Mac de ações XSLCmd porções significativas do mesmo código. Ele pode abrir um shell reverso para seus mestres, automaticamente transferir seus documentos para um sistema remoto, instalar executáveis, e é configurável.
Mas a porta OS X adiciona novos recursos, de acordo com a empresa de segurança FireEye net, que afirma ter descoberto a ferramenta backdoor-instalar.
"A versão OS X do XSLCmd inclui duas características adicionais não encontradas nas variantes do Windows que estudamos em profundidade: registo chave e captura de tela", disse FireEye.
A biz infosec acompanhou o desenvolvimento do software a um grupo que nomeou GREF devido ao hábito da gangue de deixar cair as referências para o Google em suas atividades nefastas.
GREF tem como alvo empresas de defesa dos EUA para produtos eletrônicos e empresas de engenharia em todo o mundo, bem como fundações e organizações não-governamentais - especialmente aqueles com interesses na Ásia.
Tática favorita do grupo envolve a criação de cisternas: essencialmente, hackear sites populares com os trabalhadores das indústrias acima mencionados para injetar um JavaScript malicioso arquivo em páginas dos sites.
O mecanismo para puxar o código está escondido dentro de blocos de código do Google Analytics. Uma vez executado, o JavaScript começa a trabalhar puxando e instalar XSLCmd .
FireEye explicou que "fiel ao seu apelido no link normalmente era colocado dentro de um bloco de código do Google Analytics existente no código fonte da página para ajudá-la obscura, ao invés de simplesmente acrescentados ao final do arquivo, como muitos outros atacantes fizeram."
GREF muitas vezes usado vulnerabilidades do servidor web para lançar as bases para ataques.
"Eles foram conhecidos para aproveitar vulnerabilidades em ColdFusion, Tomcat, JBoss, FCKEditor, e outras aplicações web para ter acesso a servidores, e então eles vão comumente implantar uma variedade de conchas da Web relevantes para o software aplicativo web em execução no servidor de acesso e controlar o sistema ", escreveu pesquisadores FireEye James T. Bennett e Mike Scott em seu blog .
Instrumentos de vigilância e controle remoto voltados para usuários de Mac são incomuns. No entanto, ferramentas de segurança fornecedor AlienVault documentado um Office para Mac ataque alvejando as organizações não-governamentais do Tibete, há dois anos.
E o chamado grupo IceFrog bater estabelecimentos militares e de mídia sul da Coréia e do Japão no ano passado após o desenvolvimento de malware backdoor-instalação que trabalharam em máquinas Mac e Windows, como descoberto pela empresa de segurança russa Kaspersky Lab. ®
Nenhum comentário:
Postar um comentário