Niebezpieczny trojan znowu atakuje Mac OS X
2015-03-04 09:37
Mamy wielki powrót - Mac.BackDoor.OpinionSpy ponownie uderza w użytkowników systemu Mac OS X. Eksperci z Doctor Web przeanalizowali najnowszą, trzecią już wersję tego trojana. Okazuje się, że możliwości, którymi może pochwalić się złośliwy program są całkiem pokaźne. Potrafi on m.in. zbierać i przesyłać do atakujących informacje o ładowanych stronach www, analizować przepływ ruchu przez kartę sieciową sprzętu oraz przechwytywać pakiety sieciowe wysyłane przez komunikatory.
Przeczytaj także: Mniej ataków hakerskich na polskie firmy. Nanocore zdetronizował Emotet
Mac.BackDoor.OpinionSpy to program znany ekspertom już od ponad czterech lat. Pierwsza jego wersja pojawiła się w 2010 roku. Teraz atakuje trzecia, która ostatnio trafiła dodo laboratorium antywirusowego Doctor Web. Eksperci opatrzyli ją nazwą Mac.BackDoor.OpinionSpy.3.Mac.BackDoor.OpinionSpy.3 rozpowszechnia się poprzez trzyetapowy schemat działań. Na stronach internetowych oferujących różne rodzaje oprogramowania dla Mac OS X, użytkownicy mogą natknąć się na tylko pozornie nieszkodliwe programy. Zawierają one jednak w swoich dystrybucjach pliki typu postinstall uruchamiane pod koniec instalacji. Jeśli podczas instalacji takiej, pobranej wcześniej aplikacji, użytkownik zgodzi się na zapewnienie jej uprawnień administratora, proces postinstall wysyła do serwera intruzów serię żądań typu POST i w odpowiedzi otrzymuje link do pobrania pakietu z rozszerzeniem .osa, zawierającego archiwum ZIP. Postinstall rozpakowuje archiwum, wyodrębnia plik wykonywalny nazwany PremierOpinion i plik XML zawierający wymagane do tej operacji dane konfiguracyjne, a następnie uruchamia program.
Po uruchomieniu się na komputerze będącym celem ataku PremierOpinion podłącza się także do serwera kontrolno-zarządzającego i otrzymuje link do pobrania innego pakietu .osa, z którego jest rozpakowywana i instalowana kompletna aplikacja o tej samej nazwie - PremierOpinion. Ta aplikacja zawiera kilka plików wykonywalnych: program PremierOpinion, który nie zawiera żadnych złośliwych funkcji i backdoor PremierOpinionD, który wprowadza niebezpieczne funkcjonalności wymierzone w użytkownika systemu Mac OS X.
Trojan podczas instalacji pozyskuje prawa administracyjne i działa w systemie z uprawnieniami administratora. Jeśli na samym początku użytkownik wybierze "I Disagree" („Nie zgadzam się”) w okienku dialogowym instalatora, pobrany przez niego z Internetu program zostanie zainstalowany na komputerze bez żadnych dodatkowych komponentów szpiegujących:
fot. mat. prasowe
Okno instalacji PremierOpinion
Gdy użytkownik wybierze "I disagree" program zainstaluje się bez żadnych dodatkowych komponentów szpiegujących
Jeśli użytkownik wybierze "I Agree" („Zgadzam się”), PremierOpinion zostanie zainstalowany na komputerze jako dodatek do pobranej aplikacji. Jego ikona pojawi się na pasku zarządzającym i na liście zainstalowanych aplikacji:
fot. mat. prasowe
Ikona PremierOpinion
Ikona zainstalowanego programu pojawia się na pasku zarządzającym i na liście zainstalowanych aplikacji
Jego interfejs jest bardzo skromny:
fot. mat. prasowe
Interfejs PremierOpinion
Interfejs programu nie należy do wyszukanych
Przeczytaj także:
![Emotet największym cyberzagrożeniem w Polsce, a Formbook na świecie]( "Emotet największym cyberzagrożeniem w Polsce, a Formbook na świecie [© R.Studio - Fotolia.com]")
Emotet największym cyberzagrożeniem w Polsce, a Formbook na świecie
Emotet największym cyberzagrożeniem w Polsce, a Formbook na świecie
oprac. : Aleksandra Baranowska-Skimina / eGospodarka.pl
Przeczytaj także
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (0)
!["Miasto 15-minutowe". Nowe pojęcie, stara idea [© wirestock na Freepik]](https://s3.egospodarka.pl/grafika2/miasto-15-minutowe/Miasto-15-minutowe-Nowe-pojecie-stara-idea-263097-50x33crop.jpg "\"Miasto 15-minutowe\". Nowe pojęcie, stara idea [© wirestock na Freepik]")
"Miasto 15-minutowe". Nowe pojęcie, stara idea
