Niebezpieczny trojan znowu atakuje Mac OS X

Przeczytaj także: Mniej ataków hakerskich na polskie firmy. Nanocore zdetronizował Emotet

Klikając ikonę aplikacji na pasku zarządzającym, użytkownik uruchomi przeglądarkę z załadowaną stroną zawierającą opis PremierOpinion, prezentujący go jako narzędzie do badań marketingowych. Jednakże twórca strony w żaden sposób nie zgłasza na niej faktu zbierania i przesyłania przez nią na zdalny serwer informacji o komputerach Apple z tym uruchomionym programem.
Twórcy programu utrzymują, że PremierOpinion tylko monitoruje historię zakupów użytkownika i, od czasu do czasu, oferuje wzięcie udziału w badaniach marketingowych prosząc o udzielenie odpowiedzi na kilka pytań w specjalnym formularzu. W praktyce funkcjonalności Mac.BackDoor.OpinionSpy.3 są znacznie szersze i są definiowane przez pliki konfiguracyjne otrzymane z serwera kontrolno-zarządzającego. Trojan instaluje się w katalogu /Library/LaunchDaemons/, dzięki temu uruchamia się automatycznie, gdy przerwie swoje działanie na skutek błędu lub przy restarcie systemu operacyjnego. Następnie Mac.BackDoor.OpinionSpy.3 instaluje specjalne rozszerzenie, które śledzi aktywność użytkownika w przeglądarkach Google Chrome i Mozilla Firefox i wysyła na serwer kontrolno-zarządzający wszystkie informacje na temat odwiedzonych stron www (dane są zbierane na podstawie określonego zestawu reguł), otwartych tabel i klikniętych linków.

Oprócz tego Mac.BackDoor.OpinionSpy.3 wstrzykuje swoją własną bibliotekę w procesy przeglądarki i aplikacji iChat, aby przechwycić kilka funkcji sieciowych. Monitoruje również ruch przesyłany przez kartę sieciową komputera Apple. Pakiety HTTP, ruch pochodzący z komunikatorów (takich jak Microsoft Messenger, Yahoo! Messenger, AIM, iChat) i ruch RTMP są śledzone na wszystkich dostępnych interfejsach Ethernet komputera. Z użyciem jednego ze swoich modułów Trojan potrafi skanować dysk twardy i wszystkie inne nośniki podmontowane w systemie, wyszukiwać pliki odpowiadające regułom zadanym przez twórców wirusa i wysyłać te pliki na zdalny serwer. Poza tym Trojan wysyła do atakujących informacje o zainfekowanym komputerze, włączając informacje o konfiguracji sprzętowej, liście uruchomionych procesów i tak dalej. Trojan jest w stanie instalować swoje własne aktualizacje bez interwencji użytkownika, pobierając je z serwera kontrolno-zarządzającego. Warto zauważyć, że Mac.BackDoor.OpinionSpy.3 zakłóca pracę modułu lokalizacyjnego przeglądarki Safari:
Podczas wymiany informacji z serwerem kontrolno-zarządzającym Trojan szyfruje niektóre dane i jednocześnie przesyła niektóre z nich otwartym tekstem. Między innymi Mac.BackDoor.OpinionSpy.3 potrafi pozyskiwać i wysyłać przestępcom informacje o plikach i strumieniach wideo oglądanych przez użytkownika.

Sygnatura tego malware została dodana do bazy wirusów Dr.Web. Ostrzegamy jednak użytkowników komputerów z systemem Mac OS X i zalecamy zwracanie uwagi na aplikacje pobierane z Internetu.