上周，安全人员Patrick Wardle发表了一篇关于HackingTeam使用的新的后门和病毒植入程序的文章。同时也表明，Hacking Team重新开始活跃，带来了新的恶意软件。

为了了解该恶意软件的原理和功能，有安全人员对此进行了深入的分析。该恶意软件名为Backdoor.OSX.Morcut，后门植入程式为Backdoor.OSX.Morcut.u，病毒植入程式为Trojan-Dropper.OSX.Morcut.d。

加密密钥

主要的后门组件接收来自加密的Json配置文件的负载指令。为了解密该配置文件，首先使用了已知的密钥，但是都不能解密该文件。通过查看二进制文件，研究人员确定了编码该文件的算法是AES 128，因此需要一个新的加密密钥。经分析，在加密程序的初始化过程中，该密钥作为参数传递到函数中：

通过追踪该代码，研究人员发现了加密该配置文件的新密钥：

由上图可以看出，该密钥长度为32字节，因此只有前16字节发挥密钥的作用。研究人员用该密钥成功解密了配置文件，发现该文件为Json格式，其中包含该后门需要在目标OS X机器上执行的指令：

植入程序的恶意功能

· 获取屏幕截图

· 当目标连接Wi-Fi或使用特定的网络通道带宽(在Json配置文件中定义，如下图)时，会向位于英国的Linode服务器同步或报告窃取的信息。

· 窃取本地安装的应用程序的信息、通讯录、日历事件和电话。当iPhone用户连接相同且可信的Wi-Fi时，OS X允许用户之间直接从桌面拨打电话。

· 它通过开启前摄像头录像、使用嵌入式耳机录音、嗅探本地聊天和从剪贴板盗取数据来监视目标。

· 它盗取目标的电子邮件、短信和MMS消息，包括iPhone配对的OS X台式机，如下图

· 在它的其他功能中，还可以监控目标的地理位置。

Json文件显示，该操作开始的时间是2015年10月16日(星期五)，也就是说，这是HackingTeam的一项新的后门植入程序。