Новости|23 Апрель 2012 1:56

Пользователям Mac вновь угрожает бэкдор

Недавняя информация антивирусных компаний об обнаруженном троянце Flashfake, создавшем ботсеть из более чем семисот тысяч компьютеров на Mac OS, буквально взбудоражила интернет. Этот зловред стал самым показательным примером использования «дыр» в безопасности платформы от Apple, но, к сожалению, оказался не единственным. Пользователям Mac вновь угрожает опасность и на этот раз более серьезная — бэкдор с именем Backdoor.OSX.SabPub. В отличие от ранее выявленного Flashfake, данная программа обладает конкретной вредоносной функциональностью, сообщают эксперты «Лаборатории Касперского».

SabPub

SabPub — это совсем новый бэкдор, обнаруженный в первых числах апреля. Как и свойственно программам подобного типа, он предоставляет злоумышленникам скрытый доступ к пользовательскому компьютеру и возможность удаленного управления им. После активации на зараженной машине зловред подключался к специально выделенному серверу, от которого и получал команды. Он способен даже делать скриншоты и отправлять их на сервер. Как выяснилось, для перенаправления запросов использовалась бесплатная DNS-служба, а центр управления вредоносным кодом находился в Соединенных Штатах.

На сегодня аудитория пользователей, получившая на свой компьютер внезапный «подарочек», относительно мала. Это свидетельствует о том, вредоносная программа использовалась киберпреступниками для выполнения целенаправленных атак. Последующие события лишь подтвердили выводы специалистов.

«Лаборатория Касперского» анализировала работу зараженного новым бэкдором компьютера и 15 апреля обнаружила активность злоумышленников: атакующие установили соединение с инфицированной системой и приступили к ее исследованию. Они изучали содержимое папок компьютера и даже скачивали документы, загруженные в «подставную» платформу заранее. При этом выяснилось, анализ компьютера производился вручную, а не автоматически, что более свойственно «массовым» вредоносным скриптам.

В ходе изучения SabPub специалисты выяснили дополнительные способы первоначального заражения бэкдором. Были обнаружены шесть документов MS Word, хранящих в себе эксплойт, два из них обеспечивали загрузку SabPub. Плюс ко всему, была установлена прямая связь между зловредом и LuckyCat — еще одной таргетированной атакой , направленной на Windows-системы. Попытка открыть на уязвимых машинах другие четыре документа Word приводила к их заражению со стороны дополнительного бэкдора, предназначенного для Mac-компьютеров.