Nesen interneta drošības programmatūras uzņēmums Bitdefender atklāja, ka Apple datorsistēmas Mac OS X saskaras ar jauniem draudiem ļauj uzbrucējiem nemanāmi pārņemt pilnu sistēmas kontroli un no inficētajiem savākt visu sensitīvo informāciju datori.
Nesen Bitdefender atrada jaunu ļaunprātīgu programmatūru, kas Mac operētājsistēmā instalē aizmugurējās durvis, kas uzbrucējiem nodrošina pilnīgu piekļuvi Mac sistēmām. Ļaunprātīgā programmatūra tika dēvēta par “Backdoor. MAC.Elanor ”un to ir atklājuši Bitdefender security pētnieki.
Kā mēs jau minējām, ka mēs esam veltīti aizmugures durvju uzstādīšanai operētājsistēmā tā, lai uzbrucējiem var būt pilnīga piekļuve, ieskaitot lietotāja datus, vai arī viņi var kontrolēt tīmekļa kameru, izpildīt patvaļīgu kodu un daudz vairāk.
Kā izplatīšanas līdzekli izmantoja nepatiesu failu konvertēšanas lietojumprogrammu, kas pazīstama kā EasyDoc Converter.app, kas var būt atrasts vietās, kuras plaši izmanto Mac lietotāji, meklējot instalējamas lietojumprogrammas, norāda Bitdefender drošība.
Sākotnēji pētniekiem bija grūti precīzi noteikt līdzekļus, ar kuriem notiek infekcija. Visticamāk, aizmugurējā daļa tiek izplatīta, izmantojot surogātpasta ziņojumus, taču sistēmā tā var nokļūt arī caur lietojumprogrammām, kas lejupielādētas no neuzticamiem avotiem. Kā paskaidroja eksperti, viens no iekrāvēja komponentiem tiek izplatīts, izmantojot ZIP failu.
Tā kā ZIP fails satur izpildāmo failu Mach-O formātā, kas maskēts kā teksta vai JPEG fails. Tomēr paplašināšanas beigās ir atstarpe, veicot dubultklikšķi uz “ZIP-file”, fails tiek atvērts terminālā, nevis TextEdit vai Preview kā parastie faili. Tā kā Finder failu pārvaldnieks izpildāmā faila ikonu identificē kā JPEG vai TXT, maz ticams, ka lietotājam ir aizdomas, ka kaut kas nav kārtībā, un, iespējams, to atvērs.
Aizmugurējā daļa, kas aprīkota ar modificētu UPX versiju, meklē neatlaidību sistēmā, iestatot PLIST failu “/ Library / LaunchAgents / (ja pieejams superlietotājs) vai $ USER” un “/ Library / LaunchAgents / (bez saknes piekļuve) ”. Icloudsyncd izpildāmais fails tiek saglabāts direktorijā “Library / Application Support / com.apple.iCloud.sync.daemon”.
Tomēr Mac ir paaugstināts drošības solis, kas pazīstams kā “Gatekeeper”, kas atrodas sistēmas preferenču sadaļā Drošība un konfidencialitāte. Pēc noklusējuma tas neļauj palaist neparakstītas lietojumprogrammas no neidentificētiem avotiem vai izstrādātājiem. Tātad, ja lejupielādējat neparakstītu lietojumprogrammu no jebkura neidentificēta avota, Mac App Store to darīs mēģiniet to palaist, bet galu galā jūs saņemsit ziņojumu, ka “pieteikuma norādīšana nevar būt atvērts ”. Tādējādi vārtsargs būtu bloķējis ļaunprogrammatūru, ja tā ir iespējota.