Исследователи из ИБ-компании Bitdefender обнаружили заточенный под Mac OS X бэкдор, который позволяет установить полный контроль над системой с анонимным доступом через сеть Tor. Зловред не подписан сертификатом Apple и потому может проскользнуть незамеченным лишь в том случае, если у пользователя отключена защита Gatekeeper.

Mac-зловред, детектируемый как Backdoor.MAC.Eleanor, распространяется под видом приложения для конвертации файлов EasyDoc Converter.app, доступного во многих специализированных интернет-магазинах. По свидетельству Bitdefender, фейковый конвертер не реализует ни одну из заявленных функций, вместо этого он исполняет вредоносный скрипт, который устанавливает и регистрирует под вводящим в заблуждение именем Dropbox три компонента Eleanor: скрытый сервис Tor, веб-сервер с PHP-компонентой и агент Pastebin.

Локальный сервер работает как C&C, позволяя атакующим выполнять разные действия на машине жертвы: просматривать, изменять, удалять, выгружать/загружать и архивировать файлы; исполнять команды, шелл-код и скрипты, написанные на PHP, PERL, Python, Ruby, Java и C; вносить изменения в базы данных (MySQL, SQLite и пр.), проверять настройки сетевого экрана и отыскивать точки входа в целевую сеть, просматривать списки запущенных процессов и приложений через диспетчер задач, отправлять письма с вложениями. Eleanor также использует wacaw, инструмент с открытым исходным кодом, для ведения фото- и видеосъемки через веб-камеру жертвы.

«Этот тип вредоносного ПО особенно опасен, так как его трудно обнаружить, тогда как он обеспечивает атакующему полный контроль над скомпрометированной системой, — подчеркнул Тибериус Аксинте (Tiberius Axinte), технический руководитель аналитиков вирусных угроз в Bitdefender. — К примеру, вас могут лишить доступа к лэптопу, шантажировать, угрожая раскрытием приватных файлов, или приобщить ваш лэптоп к ботнету для проведения атак на другие устройства. Возможности в данном случае безграничны».

Tor-компонент Eleanor осуществляет связь с запароленной панелью управления, обеспечивая атакующим доступ к локальному C&C по уникальному URL, который генерируется на месте и сохраняется на Pastebin. Перед сохранением сгенерированные onion-адреса шифруются по base64 и открытым ключом RSA. Самая давняя запись, найденная на Pastebin, была датирована 19 апреля, однако проникшим в аккаунты исследователям не удалось установить точное число заражений: сэмплы Eleanor используют раздельные учетные записи, а в распоряжении Bitdefender оказались лишь некоторые из них.

«[Вредоносное] приложение не подписано сертификатом разработчика Apple, — комментирует Томас Рид (Thomas Reed) из Malwarebytes. — В некотором смысле это хорошо, так как его труднее открыть (по умолчанию Mac OS X не открывает неподписанные приложения). Однако в этом есть и негативный аспект: при большом желании пользователю все же удастся его открыть, а поскольку подписи нет, Apple не сможет деактивировать приложение отзывом сертификата».

Категории: Аналитика, Вредоносные программы, Главное