不管是電信詐騙,還是木馬攻擊,騙子總會想盡各種辦法讓你入坑。
近日,國外一家安全公司Palo Alto追蹤到了一種新的Mac OS X 惡意木馬病毒,這個惡意木馬病毒利用俄羅斯太空計劃做誘餌,在入侵裝有Mac OS X 系統(tǒng)的電腦后,會自動保存一個聲稱與俄國太空計劃有關(guān)的PDF文件,用戶打開文件后就會中招。
|利用流氓殺毒軟件漏洞進行攻擊
安全專家這個惡意木馬病毒命名為Komplex,一旦被感染,可以對其電腦進行病毒的下載與執(zhí)行,并有刪除Mac中任意文件的權(quán)限。
據(jù)Palo Alto介紹,Komplex木馬病毒是一個通信工具包,攻擊者通過這個工具包來接管攻擊目標的電腦,以這樣的方式,攻擊者可以獲取到攻擊目標的系統(tǒng)版本、用戶名、以及入侵時的運行列表數(shù)據(jù),還可以接收指令,并將指令運行結(jié)果反饋給入侵者。Komplex木馬病毒將主要通過apple-iclouds.net 和 itunes-helper.net兩個網(wǎng)站進行傳播,并與俄羅斯最近其它的網(wǎng)絡(luò)攻擊活動有關(guān)。
攻擊進程主要分為三步:
1. 偽裝成呈現(xiàn)俄羅斯聯(lián)邦太空計劃的PDF文件;
2. 通過添加自身的.plist文件到計算機啟動程序獲取電腦權(quán)限,然后下載Komplex有效荷載dropper;
3. 當互聯(lián)網(wǎng)連接可用時,就開始服務(wù)器通信,收集受感染電腦中的信息發(fā)送給攻擊者。
Komplex木馬病毒主要利用了一款名為Mackeeper流氓殺毒軟件上的漏洞。這個漏洞可以讓使用該軟件的電腦在訪問特定網(wǎng)站時執(zhí)行遠程命令,如果裝有這個軟件的使用者一不小心打開了某個電子郵件中的惡意鏈接,就會立刻感染上病毒。
|與黑客組織Sofacy有關(guān)
Palo Alto經(jīng)過分析后發(fā)現(xiàn),Komplex木馬病毒可能與俄羅斯的黑客組織Sofacy有關(guān)。原因是,Komplex木馬病毒中的惡意編碼與黑客組織Sofacy曾通過釣魚郵件攻擊美國政府的Carberp木馬病毒相同,至少可以確定,Carberp木馬病毒和Komplex木馬病毒使用至少是同一個設(shè)計框架。
Sofacy組織還有一些其他的名字或代號——Fancy Bear、APT28、Sednit、Pawn Storm、Strontium。被評價為當今最活躍的黑客組織之一。該組織主要利用魚叉式釣魚的攻擊方式行入侵攻擊,然后利用惡意軟件通過系統(tǒng)中的命令和控制框架來獲取目標設(shè)備的控制權(quán)。據(jù)了解,Sofacy不僅是2015年夏季攻擊美國民主黨全國委員會的組織之一,同時也是近期世界反興奮劑機構(gòu)(WADA)數(shù)據(jù)泄露的幕后黑手。
魚叉式網(wǎng)絡(luò)釣魚(Spear phishing)指一種源于亞洲與東歐只針對特定目標進行攻擊的網(wǎng)絡(luò)釣魚攻擊。這種攻擊方法的成功率很高,也非常常見。
在進行攻擊時,會誘導(dǎo)目標設(shè)備感染惡意木馬病毒。方式有:點擊鏈接、打開表格或者連接其他一些文件。
一次簡單的點擊相當于為攻擊者開啟了一扇電子門,這樣攻擊者就可以接觸到你的內(nèi)部弱點了,然后進行信息挖掘和連接授權(quán)。
|Sofacy專從事網(wǎng)絡(luò)間諜活動
Sofacy的攻擊目標包括東歐政府以及軍隊 、格魯吉亞和高加索地區(qū),與安全有關(guān)的組織如北約、美國國防承包商Academi、國際科學(xué)應(yīng)用公司(SAIC)。
該組織最早在2014年時由趨勢科技發(fā)現(xiàn)。把他們命名為Sofacy是因為,這個組織常用兩個或多個工具或策略來對特定的攻擊目標進行攻擊,非常像國際象棋中的攻擊策略。這種攻擊策略最著名的行動是“兵風(fēng)暴”,趨勢科技稱,“兵風(fēng)暴行動”是一場由俄羅斯政府支持的黑客組織進行的網(wǎng)絡(luò)間諜活動。
Palo Alto說,目前為止,已知Komplex木馬有三個版本:分別可用來攻擊x64架構(gòu)、x86架構(gòu)以及x64和x86架構(gòu),但不知道有多少人感染了Komplex木馬病毒。