Calisto macOS Trojan 恶意软件

  • A+
所属分类:网络安全新闻

来自卡巴斯基实验室的安全专家发现了名为Calisto的臭名昭着的Proton macOS恶意软件的前身。
来自卡巴斯基实验室的恶意软件研究人员发现了一种跟踪为Calisto的恶意软件,它似乎是Proton macOS恶意软件的前身。

Calisto macOS Trojan 恶意软件

“我们最近遇到过一个这样的样本:一个名为Calisto的macOS后门。

该恶意软件早在2016年就被上传到VirusTotal,很可能是在创建它的同一年。但是整整两年,直到2018年5月,Calisto仍然不受反病毒解决方案的影响,最近才发现VT的第一次检测。“读取卡巴斯基发布的分析。

“从概念上讲,Calisto后门酷似Backdoor.OSX.Proton家族的一员:”

恶意代码似乎是在2016年开发的,而Proton是在2017年首次发现的。

据专家介绍,该恶意软件于2016年上传到VirusTotal,但直到2018年5月才发现它。卡巴斯基没有关于威胁传播方式的信息,他们立即注意到Calisto实施的一些功能仍处于开发阶段。

Calisto安装文件是一个未签名的DMG图像,以Intego的Mac安全解决方案为幌子。

卡巴斯基发布的 分析显示,在Calisto中没有使用Proton恶意软件实现的许多功能。

质子恶意软件于2017年3月首次被发现,威胁演员在一个地下黑客论坛上出售它, 整个项目的价格从1200美元到830,000美元不等。

几周后,恶意软件第一次涉及野外攻击,威胁演员 攻击了HandBrake应用程序的网站 并用它毒害了官方应用程序。

2017年10月,攻击者 分发了Proton RAT中毒合法应用程序,例如由Elmedia Player开发的流行的Elmedia Player和下载管理器Folx。

Proton RAT和Calisto都是远程访问木马(RAT),一旦感染系统,攻击者就可以完全控制它。

Calisto允许远程控制受感染的Mac,它实现了一些功能:

启用远程登录
启用屏幕共享
配置用户的远程登录权限
允许远程登录所有人
在macOS中启用隐藏的“root”帐户,并设置特洛伊木马代码中指定的密码
专家进行的静态分析显示未完成的功能,包括:

加载/卸载用于处理USB设备的内核扩展
用户目录中的数据窃取
自我毁灭与操作系统一起
专家指出,Calisto是在Apple推出SIP(系统完整性保护) 安全机制之前开发的, 因此它无法绕过它。

“Calisto在启用SIP(系统完整性保护)的计算机上的活动相当有限。由苹果公司于2015年宣布推出OSX El Capitan,SIP旨在保护关键系统文件不被修改 - 即使是拥有root权限的用户也是如此。“研究人员解释道。“Calisto是在2016年或更早开发的,似乎它的创造者根本没有考虑到当时的新技术。但是,许多用户仍因各种原因禁用SIP; 我们断然建议不要这样做。“

这意味着Calisto不能感染现代macOS版本,无论如何都要低于一些建议,以防止Calisto,Proton和类似的威胁:

始终更新到当前版本的操作系统
永远不要禁用SIP
仅运行从受信任的来源(例如App Store)下载的已签名软件
使用防病毒软件
目前Calisto似乎已被其作者遗弃。

  • 服务器购买微信群
  • 阿里云&腾讯云&国外VPS
  • weinxin
  • 服务器购买QQ群
  • 阿里云&腾讯云&国外VPS
  • weinxin
CE安全网

发表评论

您必须登录才能发表评论!