Под mac os x появились первые эксплоиты

Под mac os x появились первые эксплоиты

Компания «Доктор Web», русский разработчик средств информационной безопасности, сейчас сказала об обнаружении уязвимостей, с применением которых вероятно заражение вредоносными программами устройств под управлением платформы Mac OS X. Она по праву считается одной из самых надежных ОС в мире, но преступникам все же удалось применять узнаваемые уязвимости Java с целью распространения угроз для данной платформы.Первыми преступниками, решившими применять уязвимости Java для заражения компьютеров под управлением Mac OS X, были создатели вредоносной программы BackDoor.Flashback, распространяемой, как мы знаем, через зараженные сайты. Отметим, что установщик этого вредоносного ПО в большинстве случаев маскируется под программу-инсталлятор Adobe Flash Player.

Пользователю Mac OS X предлагается загрузить и установить архив, содержащий файл с именем FlashPlayer-11-macos.pkg (для других ОС загрузка не выполняется). По окончании запуска установщик пробует скачать с удаленного сайта главной модуль троянца, и, в случае если это не удается, прекращает собственную работу.Сейчас преступники пошли вторым методом: при открытии инфицированного сайта выполняется проверка user-agent пользовательского компьютера, и, в случае если запрос сделан из-под MacOS с определенной версией браузера, пользователю отдается веб-страница, загружающая пара java-апплетов.

Сама страница демонстрирует в окне браузера надпись «Loading…. Please wait…».

Модуль с именем rhlib.jar применяет уязвимость CVE-2011-3544. Он помещает в папку /tmp/ исполняемый файл .sysenterxx, выставляет ему нужные атрибуты и запускает на исполнение.

Запущенное приложение контролирует, присутствуют ли в ОС файлы
/Library/LittleSnitch
/Developer/Applications/Xcode.app/Contents/MacOS/Xcode
и, в случае если их найти не удалось, пробует загрузить главный модуль вредоносной программы BackDoor.Flashback.26. В другом случае загрузчик себя. Модуль clclib.jar применяет уязвимость CVE-2008-5353, а ssign.jar является дроппер Java.Dropper.8, подписанный недействительной подписью: преступники рассчитывают на то, что пользователь добавит эту подпись в перечень доверенных и тем самым разрешит исполнение кода.

Источник: cybersecurity

Увлекательные записи:

How OS X 10.11.6 — ROOT Exploit Works (Explained)


Комментарии и уведомления в настоящее время закрыты..

Комментарии закрыты.