BlackHole est un outil d'administration à distance qui, utilisé à des fins malveillantes, peut également servir de cheval de Troie d'accès à distance. BlackHole RAT peut être utilisé sous Mac OS X ou Windows et permet à un attaquant distant de faire ce qui suit:
- Exécuter des commandes shell (en fonction des privilèges de l'utilisateur connecté)
- Arrêtez, redémarrez ou mettez l'ordinateur en veille
- Afficher un message sur l'ordinateur de la victime
- Créer des fichiers texte sur le bureau
- Demander les informations d'identification de l'administrateur
L'invite pour les informations d'identification administratives fonctionne comme quelque chose comme un enregistreur de frappe à commande manuelle. Si une victime entre ses informations de connexion administrateur à l'invite, le nom d'utilisateur et le mot de passe seront capturés et envoyés à l'attaquant.
La demande d'autorisations d'administrateur est probablement destinée aux utilisateurs de Mac OS X car, contrairement à Windows, Mac OS X limite cet accès de bas niveau aux programmes. sauf autorisation explicite de l'utilisateur . Une des meilleures défenses contre de telles astuces consiste à comprendre ce qui est normal et nécessaire pour votre ordinateur (dans cet exemple, un Mac).
Par exemple, lorsque / si vous recevez une invite pour un mot de passe administrateur, posez-vous les questions suivantes:
- Étiez-vous en train d'installer un programme connu d'un développeur de confiance lorsque l'invite s'est produite?
- Si tel est le cas, le programme que vous installez est-il quelque chose qui aurait normalement besoin d'un accès administrateur?
L'un des moyens de déterminer si une invite d'authentification n'est pas légitime est d'éviter d'identifier le programme demandant les autorisations d'administrateur. Une invite d'authentification légitime inclura une option "détails" pour en savoir plus sur la demande. Et cela peut paraître idiot, mais vérifiez les fautes d'orthographe dans la fenêtre où vous voudriez taper vos informations d'identification. Beaucoup de gens infâmes ne font pas toujours attention à ces détails.
À l'heure actuelle, BlackHole RAT requiert son propre mot de passe pour l'installation, ce qui signifie qu'un attaquant aurait besoin d'un accès direct à votre ordinateur. Notez que BlackHole RAT ne doit pas être confondu avec le kit d’exploitation Blackhole, un framework permettant de diffuser des exploits et des programmes malveillants via le Web.
