Недавно компания Bitdefender, занимающаяся разработкой программного обеспечения для интернет-безопасности, обнаружила, что компьютерные системы Apple, Mac OS X, сталкиваются с новой угрозой: позволяет злоумышленникам незаметно получить полный контроль над системой и собрать всю конфиденциальную информацию от зараженных компьютеры.
Недавно Bitdefender обнаружил новое вредоносное ПО, которое устанавливает бэкдоры в операционную систему Mac, что дает злоумышленникам полный доступ к системам Mac. Вредоносная программа получила название «Backdoor. MAC.Elanor »и был обнаружен исследователями Bitdefender Security.
Как мы уже упоминали, мы занимаемся установкой бэкдоров в операционной системе, чтобы злоумышленники могут иметь полный доступ, включая данные пользователя, или могут взять под контроль веб-камеру, выполнить произвольный код и гораздо более.
В качестве средства распространения использовалось ложное приложение для преобразования файлов, известное как EasyDoc Converter.app, которое может быть найдено в местах, которые широко используются пользователями Mac при поиске приложений для установки, согласно Bitdefender безопасность.
Первоначально исследователям было сложно точно определить, каким образом происходит заражение. Скорее всего, бэкдор распространяется через спам-сообщения, но он также может попасть в систему через приложения, загруженные из ненадежных источников. Как пояснили специалисты, один из компонентов загрузчика распространяется через ZIP-файл.
В качестве ZIP-файла содержится исполняемый файл в формате Mach-O, замаскированный под текстовый или JPEG-файл. Однако в конце расширения есть пробел, при двойном щелчке по «ZIP-файлу» файл открывает его в Терминале, а не в TextEdit или Preview как обычные файлы. Поскольку файловый менеджер Finder идентифицирует значок исполняемого файла как JPEG или TXT, пользователь вряд ли заподозрит, что что-то не так, и, скорее всего, откроет его.
Бэкдор, упакованный с модифицированной версией UPX, ищет постоянство в системе, устанавливая PLIST-файл в «/ Library / LaunchAgents / (если доступен суперпользователь) или $ USER» и «/ Library / LaunchAgents / (без root доступ)". Исполняемый файл Icloudsyncd хранится в каталоге «Библиотека / Поддержка приложений / com.apple.iCloud.sync.daemon».
Однако у Mac есть повышенный уровень безопасности, известный как «Привратник», который находится в Системных настройках в разделе «Безопасность и конфиденциальность». По умолчанию он предотвращает запуск любых неподписанных приложений от неизвестных источников или разработчиков. Итак, если вы загрузите неподписанное приложение из любого неопознанного источника, Mac App Store будет попробуйте запустить его, но в конечном итоге вы получите сообщение, что «заявив, что приложение не может быть открыт ». Следовательно, гейткипер заблокировал бы вредоносную программу, если бы она была включена.