Пользователям Mac угрожает очередной бэкдор

[toxi]

Печально известный троянец Flashfake, с помощью которого была создана
бот-сеть, состоящая из более чем 700 000 компьютеров Apple, безусловно,
стал самым ярким примером использования уязвимостей в Mac OS X, однако
далеко не единственным. Эксперты "Лаборатории Касперского"
обнаружили еще одну вредоносную программу для компьютеров Apple, которую
можно с уверенностью отнести к угрозам, используемым в целевых атаках
(Advanced Persistent Threat, APT). В отличие от троянца Flashfake, в
составе которого вредоносный функционал обнаружен не был, вредоносная
программа Backdoor.OSX.SabPub.a является ярким примером того, как
компьютер Apple с незакрытой уязвимостью может попасть под контроль
злоумышленников.

Вредоносная программа SabPub была обнаружена в начале апреля 2012 года и
содержит функционал бэкдора, то есть обеспечивает злоумышленникам
возможность скрытого доступа к компьютеру и управления им. На данный
момент число пользователей, которые подверглись заражению данной
вредоносной программой, относительно мало. Это является дополнительным
аргументом в пользу того, что она была использована для осуществления
таргетированных атак. После активации на инфицированной машине
вредоносная программа подключалась к специальному серверу, от которого
получала инструкции. Командный центр SabPub находился в США и
использовал бесплатную DNS-службу для перенаправления запросов
инфицированных компьютеров.

Дальнейшие события лишь подтвердили теорию о том, что SabPub был
использован для проведения целенаправленных атак. Эксперты
"Лаборатории Касперского" исследовали работу компьютера,
инфицированного этим бэкдором, и 15 апреля обнаружили ряд действий
злоумышленников: атакующие установили контроль над зараженной системой и
приступили к ее анализу. Они изучали содержимое корневых и личных папок
пользователей и даже скачивали некоторые документы, заранее загруженные
на "подставную" систему. Анализ скорее всего производился
вручную, а не автоматически, что более характерно для
"массовых" вредоносных программ. Это также говорит о том,
что данная вредоносная программа представляет собой пример активно
использующейся угрозы APT.

В ходе анализа вредоносной программы эксперты получили дополнительные
сведения о способах первоначального заражения SabPub. Было найдено шесть
документов Microsoft Word, содержащих Exploit.MSWord.CVE-2009-0563.a,
два из них загружали SabPub. Кроме того, была обнаружена прямая связь
между SabPub и еще одной целенаправленной атакой, предназначенной для
Windows-систем и известной как LuckyCat. Это говорит о существовании
единой криминальной группировки, ответственной за проведение подобных
"операций". Попытка открыть другие четыре документа на
уязвимых компьютерах приводила к заражению другой вредоносной
программой, предназначенной для компьютеров Mac.

"Обнаружение бэкдора SabPub в очередной раз доказывает, что
неуязвимых платформ не существует, - комментирует Александр
Гостев, главный антивирусный эксперт "Лаборатории
Касперского". - Сравнительно небольшое количество
вредоносного программного обеспечения для платформы Mac OS X еще не
означает ее лучшую защищенность. Недавние инциденты, такие как Flashfake
и SabPub, свидетельствуют о том, что незащищенные пользователи
компьютеров Mac также подвергаются риску. Очевидно, что киберпреступники
таким образом реагируют на растущую долю рынка компьютеров Apple, либо
целенаправленно атакуют владельцев "макинтошей" в
соответствии с поставленной задачей".

Backdoor.OSX.SabPub.a и соответствующие эксплойты успешно детектируются
и лечатся Антивирусом Касперского для Mac. Более подробная информация о
данной вредоносной программе доступна в исследовании экспертов
"Лаборатории Касперского" на сайте
www.securelist.com/ru/blog.