Mac OS X под угрозой

Специалисты «Доктор Веб» обнаружили новую версию опасного трояна-бэкдора для операционной системы OS X, получившего название Mac.BackDoor.OpinionSpy.3. Об этом говорится в пресс-релизе антивирусной компании.

«Зловред» предназначен для шпионажа за пользователями Mac»: он может собирать и передавать злоумышленникам сведения об открываемых в окне браузера веб-страницах, анализировать интернет-трафик, перехватывать сетевые пакеты, отправляемые мессенджерами и выполнять некоторые другие опасные функции, утверждают в «Доктор Веб».

Семейство троянцев Mac.BackDoor.OpinionSpy известно специалистам еще с 2010 года, однако недавно в вирусную лабораторию компании попал новый экземпляр. Для распространения он использует трехступенчатую схему. На различных сайтах, предлагающих всевозможное ПО для Mac, появляются с виду безобидные программы, в составе дистрибутивов которых, тем не менее, присутствует файл poinstall, запускаемый инсталлятором в процессе установки.

Если во время инсталляции загруженного с такого сайта приложения пользователь соглашается предоставить ему права администратора, poinstall отправляет на сервер злоумышленников серию POST-запросов, а в ответ получает ссылку для скачивания пакета с расширением .osa, внутри которого располагается ZIP-архив. Рoinstall распаковывает этот архив, извлекая исполняемый файл с именем PremierOpinion и XML-файл с необходимыми для его работы конфигурационными данными, после чего запускает эту программу.

Запустившись на атакуемом «маке», PremierOpinion также связывается с управляющим сервером и получает от него ссылку на скачивание еще одного .osa-пакета, из которого извлекается и устанавливается полноценное приложение с таким же названием — PremierOpinion. Это приложение содержит несколько исполняемых файлов: собственно программу PremierOpinion, в которой отсутствует какой-либо вредоносный функционал, и бэкдор PremierOpinionD, реализующий опасные для пользователя OS Х возможности.

Разработчики утверждают, что PremierOpinion следит за историей покупок пользователя и время от времени предлагает принять участие в маркетинговом исследовании. Фактически же функциональные возможности Mac.BackDoor.OpinionSpy.3 определяются получаемыми с управляющего сервера конфигурационными файлами.

Троянец устанавливается в папку /Library/LaunchDaemons/, благодаря чему обеспечивается его автоматический запуск при отказе программы или перезагрузке системы.

Пользователям компьютеров Mac специалисты «Доктор Веб» рекомендуют с осторожностью относиться к приложениям, загруженным из Интернета.

Вернуться к разделу