Исследователи подтверждают: в недавно обнаруженном семействе кросс-платформенных бэкдоров существует вариант для OS X.

Семейство десктопных зловредов, именуемое Mokes, было идентифицировано экспертами «Лаборатории Касперского» в минувшем январе. В следующем месяце в блоге Securelist компании появилась запись, в которой Стефан Ортлоф (Stefan Ortloff) из Глобального центра исследований и анализа угроз (GReAT) подробно рассмотрел особенности версий этого бэкдора для Linux и Windows. Итерации, ориентированной на Mac OS X, на тот момент обнаружено не было, однако эксперты не исключали возможность такой находки. На прошлой неделе Ортлоф восполнил пробел, ознакомив читателей с объявившимся Backdoor.OSX.Mokes.

Как и его родственники, атакующие другие платформы, OS X-зловред способен осуществлять захват аудиопотоков, делать скриншоты и делает это каждые 30 секунд. Mokes также отслеживает подключение USB-накопителей и сканирует файловую систему в поисках документов Office (.docx, .doc, .xlsx, .xls). Команды, подаваемые зловреду, как и объект мониторинга, могут быть скорректированы с помощью фильтров, установленных на C&C-сервере.

В новой блог-записи Ортлоф отметил, что проанализированный в GReAT образец был уже распакован, хотя в дикой природе вариант для OS X по идее должен циркулировать в упакованном виде, как и его Linux-собрат. При первом запуске новый Mokes копирует себя в доступную папку $HOME/Library, выбранную из заданного списка в порядке очередности (эта папка может, например, принадлежать Skype, Dropbox, Google Chrome или Firefox).

Затем он создает соответствующий plist-файл в обеспечение постоянного присутствия и подключается по HTTP к центру управления на TCP-порту 80. Получив отклик с сервера, OS X-зловред устанавливает защищенное соединение с C&C на TCP-порту 443; для шифрования используется алгоритм AES с 256-битным ключом, работающий в режиме CBC.

Векторы заражения Ортлоф не указал, как и размеры его популяции. Представители Apple на запрос Threatpost о комментарии пока не ответили.

Вредоносные программы для OS X уже перестали быть диковиной, однако бэкдоры среди них встречаются редко. В 2012 году «лаборанты» обнаружили APT-кампанию, использующую OS X-бэкдор для слежки за уйгурскими активистами. Зловред раздавался через целевые письма, снабженные zip-вложением, и помогал атакующим исполнять произвольные команды и получать доступ к файлам на зараженной машине.

Категории: Аналитика, Вредоносные программы, Главное