Nedavno je tvrtka za internetsku sigurnost Bitdefender otkrila da se Apple računalni sustavi, Mac OS X, suočavaju s novom prijetnjom koja omogućuje napadačima neprimjetno preuzimanje potpune kontrole nad sustavom i prikupljanje svih osjetljivih podataka od zaraženih računala.
Nedavno je Bitdefender pronašao novi zlonamjerni softver koji instalira backdoor u operativni sustav Mac koji napadačima daje puni pristup Mac sustavima. Zlonamjerni softver nazvan je „Backdoor. MAC.Elanor ”, a otkrili su ga istraživači iz Bitdefender sigurnosti.
Kao što smo već spomenuli da smo posvećeni instaliranju backdoor-ova u operativni sustav tako da napadači mogu imati puni pristup, uključujući korisničke podatke, ili mogu preuzeti kontrolu nad web kamerom, izvršiti proizvoljan kod i mnogo više.
Kao sredstvo distribucije koristi se aplikacija za pretvaranje lažnih datoteka poznata kao EasyDoc Converter.app, što može biti pronađena na mjestima koja se često koriste Mac korisnicima prilikom traženja aplikacija za instaliranje, prema Bitdefenderu sigurnost.
U početku je istraživačima bilo teško precizno odrediti na koji način se infekcija događa. Najvjerojatnije se backdoor distribuira putem neželjene poruke, ali u sustav može ući i putem aplikacija preuzetih iz nepouzdanih izvora. Kao što su objasnili stručnjaci, jedna od komponenti utovarivača distribuira se putem ZIP-datoteke.
Kako ZIP-datoteka sadrži izvršnu datoteku u Mach-O formatu, koja je maskirana u tekst ili JPEG-datoteku. Međutim, na kraju proširenja postoji razmak, kada dvaput kliknete na "ZIP-datoteku", datoteka će je otvoriti u terminalu, a ne u programu TextEdit ili Preview kao uobičajene datoteke. Budući da upravitelj datoteka Finder identificira ikonu izvršne datoteke kao JPEG ili TXT, korisnik vjerojatno neće sumnjati da nešto nije u redu i vjerojatno će ga otvoriti.
Backdoor, prepun modificirane verzije UPX-a, traži postojanost u sustavu, postavlja PLIST-datoteku "/ Library / LaunchAgents / (ako je dostupan superkorisnik) ili $ USER" i "/ Library / LaunchAgents / (bez korijena pristup)". Izvršna datoteka Icloudsyncd pohranjena je u "direktoriju Library / Application Support / com.apple.iCloud.sync.daemon".
Međutim, Mac ima povećani sigurnosni korak poznat pod nazivom "Gatekeeper", koji se nalazi u Postavkama sustava pod Sigurnost i privatnost. Prema zadanim postavkama sprječava pokretanje bilo kakvih nepotpisanih aplikacija iz neidentificiranih izvora ili programera. Dakle, ako preuzmete nepotpisanu aplikaciju iz bilo kojeg neidentificiranog izvora, tada će to učiniti Mac App Store pokušajte ga pokrenuti, ali na kraju ćete dobiti poruku da „navođenje aplikacije ne može biti otvorio ”. Stoga bi Gatekeeper blokirao zlonamjerni softver ako je omogućen.