BlackHole este un instrument de administrare la distanță (RAT) care, folosit cu rău intenție, poate servi și ca un troian cu acces de la distanță. BlackHole RAT poate fi folosit fie pe Mac OS X, fie pe Windows, și permite unui atacător de la distanță să facă următoarele:
- Executați comenzile shell (depinde de privilegiile utilizatorilor conectați)
- Opriți, reporniți sau puneți computerul la culcare
- Afișați un mesaj pe computerul victimei
- Creați fișiere text pe desktop
- Solicitați acreditările de administrator
Promptul pentru acreditările administrative funcționează ca ceva de genul unui keylogger condus manual. Dacă o victimă își introduce acreditările de conectare la administrare atunci când vi se solicită, numele de utilizator și parola vor fi capturate și trimise atacatorului.
Cererea de permisiuni de administrator este îndreptată probabil către utilizatorii Mac OS X, deoarece, spre deosebire de Windows, Mac OS X restricționează accesul la aceste niveluri scăzut de către programe, cu excepția cazului în care utilizatorul le permite în mod explicit . Una dintre cele mai bune tehnici de protecție împotriva unor astfel de trucuri este înțelegerea a ceea ce este normal și necesar pentru computerul dvs. (în acest exemplu, un Mac).
De exemplu, când / dacă primiți o solicitare pentru o parolă de administrator, întrebați-vă următoarele:
- Ați instalat un program cunoscut de la un dezvoltator demn de încredere când a apărut promptul?
- Dacă da, este programul pe care instalezi ceva care ar avea nevoie de obicei de acces administrativ?
Una dintre modalitățile de a afla dacă o solicitare de autentificare nu este legitimă este că nu s-ar putea identifica programul care solicită permisiunile de administrator. O solicitare legitimă de autentificare va include o opțiune "detalii" pentru a afla mai multe despre solicitare. Și acest lucru ar putea părea proastă, dar verificați dacă există erori de ortografie în fereastra în care introduceți acreditările. O mulțime de oameni nefavorabili nu acordă întotdeauna atenție acestor detalii.
În prezent, BlackHole RAT necesită o parolă proprie pentru instalare, ceea ce înseamnă că un atacator ar avea nevoie de acces direct la computer. Pentru mai multe informații, inginerul McAfee, Gabriel Acevedo, oferă un cercetător de la McAfee în profunzime, Gabriel Acevedo oferă o descriere detaliată a acțiunilor sale pentru utilizatorii Windows și Mac.
Rețineți că BlackHole RAT nu trebuie confundat cu kitul de exploatare Blackhole, un cadru pentru furnizarea de exploitări și malware prin intermediul Web-ului.