BlackHole è uno strumento di amministrazione remota (RAT) che, utilizzato maliziosamente, può fungere anche da trojan di accesso remoto. BlackHole RAT può essere utilizzato su Mac OS X o Windows e consente a un utente malintenzionato remoto di eseguire quanto segue:
- Esegui comandi shell (dipende dai privilegi dell'utente loggato)
- Arresto, riavvio o sospensione del computer
- Mostra un messaggio sul computer della vittima
- Crea file di testo sul desktop
- Richiedi le credenziali di amministratore
Il prompt delle credenziali amministrative funziona come un keylogger guidato manualmente. Se una vittima inserisce le proprie credenziali di accesso amministratore quando richiesto, il nome utente e la password verranno catturati e inviati all'autore dell'attacco.
La richiesta di autorizzazioni di amministratore è probabilmente diretta agli utenti di Mac OS X poiché, a differenza di Windows, Mac OS X limita tale accesso a basso livello da parte dei programmi se non esplicitamente autorizzato dall'utente . Una delle migliori difese contro questi trucchi è capire cosa è normale e necessario per il tuo computer (in questo esempio, un Mac).
Ad esempio, quando / se si riceve un prompt per una password di amministratore, chiedersi quanto segue:
- Stavi installando un programma conosciuto da uno sviluppatore affidabile quando si è verificato il prompt?
- In tal caso, il programma che stai installando è qualcosa che normalmente richiederebbe l'accesso amministrativo?
Uno dei modi per stabilire se una richiesta di autenticazione non è valida è che potrebbe non riuscire a identificare il programma che richiede le autorizzazioni di amministratore. Una richiesta di autenticazione legittima includerà un'opzione "dettagli" per ulteriori informazioni sulla richiesta. E questo potrebbe sembrare sciocco, ma controlla gli errori di ortografia nella finestra in cui digiti le tue credenziali. Molte persone malvagie non sempre prestano attenzione a questi dettagli.
Attualmente, BlackHole RAT richiede la propria password per l'installazione, il che significa che un utente malintenzionato dovrebbe avere accesso diretto al proprio computer. Si noti che BlackHole RAT non deve essere confuso con il kit di exploit Blackhole, un framework per la distribuzione di exploit e malware attraverso il Web.
