Обнаружен новый вариант OSX.Macontrol
Становится все яснее, что теории о защищенности операционных систем, не являющихся Windows, не верны. С точки зрения создателя вредоносной программы, возможность использовать эксплойт для атаки на большее количество пользователей обеспечивает более широкое распространение кода в силу множества причин. Растущая популярность платформы Mac и менее зрелые системы защиты для Apple сделали данную ОС потенциальной мишенью для злоумышленников. Это привело к большему количеству атак на пользователей Mac, чем когда-либо ранее.
Недавно специалисты Symantec обнаружили новый вариант OSX.Macontrol, впервые выявленный в марте 2012 года. Этот образец передается через целевые рассылки. Бинарный файл отличается небольшим размером (75 Кб) и лишь немногим превосходит функциональность бэкдора для удаленного хоста (61.178.77.16x). Веб-сервер относится к категории HTTP-command-and-control, он собирает и модифицирует системные настройки жертв. В то же время протокол HTTP позволяет атакующему избежать обнаружения за счет использования команд, кажущихся чистым веб-трафиком.
OSX.Macontrol может:
· Закрыть соединение с удаленным хостом и прекратить действие угрозы;
· Собирать информацию со взломанного компьютера, пересылая ее на удаленный хост;
· Пересылать список процессов со взломанного ПК на удаленный сервер;
· Завершать процессы;
· Саботировать запуск процессов;
· Восстанавливать путь установки Трояна;
· Удалять файлы;
· Запускать файлы;
· Пересылать файлы на удаленный сервер;
· Передавать статус пользователя и информацию о нём на удаленный сервер;
· Завершать за пользователя его сеанс работы с системой;
· Переводить компьютер в режим сна;
· Перезагружать компьютер;
· Выключать компьютер.
Чтобы установить связь, он посылает зашифрованный запрос GET:
/h.gif?pid =113&v=130586214568 HTTP/1.
Accept-Language: en-us
Pragma: no-cache
User-Agent: Mozilla/4.0(compatible; MSIE 6.0; Windows NT 5.1)
Connection: Keep-Alive
Во время проведения исследования, специалисты Symantec заметили активность IP-адреса 61.178.77.16x, начавшуюся в феврале 2012 года, когда различные версии вредоносного ПО начали приходить с этого диапазона адресов. Согласно данным Symantec этот IP-адрес рассылает вредоносное ПО не только для Mac, но и для Windows.
