Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Nowy szkodliwy program dla Maka: Backdoor.OSX.Morcut

Siergiej Golowanow
Kaspersky Lab Expert
Dodany 30 lipca 2012, 10:11 CEST
Tagi:

Niedawno wiele laboratoriów antywirusowych otrzymało próbkę nowego szkodliwego programu atakującego użytkowników systemu MAC OS X. Próbka ta, o nazwie Backdoor.OSX.Morcut, była rozprzestrzeniana przy użyciu metod socjotechniki za pośrednictwem pliku JAR o nazwie AdobeFlashPlayer.jar oraz rzekomo została podpisana przez VeriSign Inc.



Powiadomienie z wirtualnej maszyny JAVA o uruchomieniu niezaufanego appleta

Jeżeli użytkownik zezwoli na uruchomienie pliku JAR, wtedy tworzy on plik wykonywalny payload.exe (993,440 bajtów) w folderze tymczasowym ~spawn[selection of numbers].tmp.dir i uruchamia go.



Sekcja kodu pliku JAR odpowiadająca za zapisywanie szkodliwego programu dla MAC OS X na dysku oraz uruchamianie go

Po uruchomieniu szkodliwy program inicjuje swoje komponenty i przekazuje im kontrolę. Komponenty obejmują:

  1. Instalatora, moduł komunikacji z serwerem zarządzania (plik mach-o dla x86 o rozmiarze 401,688 bajtów). Sprawdza, czy istnieje plik autorun Library/LaunchAgents/com.apple.mdworker.plist oraz pliki zawierające skradzione dane o nazwie *.flg.
  2. Rootkita (plik mach-o, sterownik dla x86 o rozmiarze 14,724 bajtów z wewnętrzną nazwą ‘mchook’). Odpowiada za ukrywanie plików oraz procesów w systemie.
  3. Rootkita (Podobny do poprzedniego, ale dla x64 )
  4. Spyware’a (plik mach-o dla x64 o rozmiarze 365,564 bajtów). Odpowiedzialny za działanie w przeglądarce Firefox, Safari, Skype, Adium. Przechwytuje uderzenia klawiszy oraz pozycję kursora, gdy użytkownik klika myszką, przechwytuje zawartość schowka, dźwięk oraz filmy wideo na ekranie.
  5. Spyware’a (podobny do poprzedniego, ale dla x86 o rozmiarze 93,048 bajtów).
  6. Plik autorun (plik mach-o dla x64 o rozmiarze 24,808 bajtów). Odpowiedzialny za komunikację modułów.
  7. Plik autorun (podobny do poprzedniego, ale dla x86 o rozmiarze 24,100 bajtów).



Sekcja kodu modułu szpiegowskiego służąca do szyfrowania skradzionych danych i łączenia się z serwerem C&C.



Sekcja kodu modułu szpiegującego wykorzystywana do przechwytywania uderzeń klawiszy i kliknięć myszką

Funkcjonalność tych modułów może się nieco różnić, w zależności od tego, czy użytkownik posiada prawa administracyjne czy nie. Nie występuje żądanie hasła użytkownika.

Moduły te zostały napisane w sposób profesjonalny, najwyraźniej z zamiarem ich powszechnego wykorzystania w przyszłości. Z kodu widać, że cyberprzestępcy rozwinęli tego trojana w celu sprzedawania go na forach hakerskich. Całkiem możliwe, że w nieodległej przyszłości trojan ten może stać się kolejnym ZeuSem – zarówno pod względem popularności jak i liczby botnetów.

PS. KSN nie odnotował jeszcze żadnych infekcji spowodowanych tym szkodliwym programem.