BlackHoleはリモート管理ツール(RAT)で、悪意を持って使用され、リモートアクセストロイの木馬としても機能します。 BlackHole RATはMac OS XまたはWindowsのどちらでも使用でき、リモートの攻撃者は次のことを実行できます。
- シェルコマンドを実行する(ログインしたユーザーの特権に依存する)
- シャットダウン、再起動、またはコンピュータをスリープ状態にする
- 犠牲者のコンピュータにメッセージを表示する
- デスクトップにテキストファイルを作成する
- 管理者の資格情報を求めるプロンプト
管理資格情報のプロンプトは、手動で駆動されるキーロガーのようなものとして機能します。 プロンプトが表示されたときに犠牲者が管理ログイン情報を入力すると、ユーザ名とパスワードが取得され、攻撃者に送信されます。
管理者権限の要求は、Windowsとは異なり、ユーザーが明示的に許可しない限り 、プログラムによる低レベルのアクセスを制限するため、 Mac OS X ユーザーを対象としています 。 このようなトリックに対する最善の防御策の1つは、コンピュータ(この例ではMac)にとって何が正常で必要なのかを理解することです。
たとえば、/管理者パスワードの入力を求めるメッセージが表示された場合は、次のようにしてください。
- プロンプトが発生したときに、信頼できる開発者から既知のプログラムをインストールしていましたか?
- もしそうなら、通常は管理アクセスが必要なものをインストールしているプログラムですか?
認証プロンプトが正当でないかどうかを判断する方法の1つは、管理者のアクセス権を要求しているプログラムを特定できない場合があることです。 正当な認証プロンプトには、要求の詳細を調べるための「詳細」オプションが含まれています。 そして、これはばかげているかもしれませんが、あなたの資格情報を入力するウィンドウのスペルミスをチェックしてください。 悪質な人々の多くは、常にこれらの細部に注意を払っていません。
現在、BlackHole RATはインストールするために独自のパスワードを必要とします。つまり、攻撃者がコンピュータに直接アクセスする必要があります。 詳細については、McAfeeエンジニアのGabriel AcevedoがMcAfeeの詳細な調査担当者を提供しています.Gabriel Acevedoは、BlackHole RATの詳細な説明を提供しています。
BlackHole RATは、Web経由で不正利用やマルウェアを配信するためのフレームワークであるBlackholeエクスプロイトキットと混同しないように注意してください。