Печально известный троянец Flashfake, благодаря которому была создана бот-сеть, складывающаяся из более чем 700 000 компьютеров Apple, непременно, стал самым хорошим примером применения уязвимостей в Mac OS X, но отнюдь не единственным. Специалисты «Лаборатории Касперского» нашли еще одну вредоносную программу для компьютеров Apple, которую возможно с уверенностью отнести к угрозам, применяемым в целевых атаках (Advanced Persistent Threat, APT). В отличие от троянца Flashfake, в составе которого вредоносный функционал найден не был, вирус Backdoor.OSX.SabPub.a есть хорошим примером того, как компьютер Apple с незакрытой уязвимостью может попасть под контроль преступников.

Вирус SabPub была найдена в начале апреля 2012 года и содержит функционал бэкдора, другими словами снабжает преступникам возможность скрытого доступа к компьютеру и управления им. Сейчас число пользователей, каковые подверглись заражению данной вирусом, довольно мало. Это есть дополнительным доводом в пользу того, что она была использована для осуществления таргетированных атак.

По окончании активации на инфицированной машине вирус подключалась к особому серверу, от которого приобретала инструкции. Командный центр SabPub был в Соединенных Штатах и применял бесплатную DNS-работу для перенаправления запросов инфицированных компьютеров.

Предстоящие события только подтвердили теорию о том, что SabPub был использован с целью проведения целенаправленных атак. Специалисты «Лаборатории Касперского» изучили работу компьютера, инфицированного этим бэкдором, и 15 апреля нашли последовательность действий преступников: атакующие установили контроль над зараженной совокупностью и приступили к ее анализу.

Они изучали содержимое личных папок и корневых пользователей а также скачивали кое-какие документы, заблаговременно загруженные на «подставную» совокупность. Анализ вероятнее производился вручную, а не машинально, что более характерно для «массовых» вирусов. Это кроме этого показывает, что эта вирус является примером деятельно употребляющейся угрозы APT.

На протяжении анализа вредоносной программы специалисты взяли дополнительные сведения о методах начального заражения SabPub. Было обнаружено шесть документов Микрософт Word, содержащих Exploit.MSWord.CVE-2009-0563.a, два из них загружали SabPub. Помимо этого, была обнаружена взаимосвязь между SabPub и еще одной целенаправленной атакой, предназначенной для Windows-совокупностей и известной как LuckyCat. Это говорит о существовании единой криминальной группировки, важной за проведение аналогичных «операций».

Попытка открыть другие четыре документа на уязвимых компьютерах приводила к заражению второй вирусом, предназначенной для компьютеров Mac.

Тэги:Взлом/хак

Источник: SmartPhone.ua

Увлекательные записи:

• После снижения объемов продаж в китае компания apple начала присматриваться к индии
• Появился образец трояна, способного инфицировать банкоматы
• Практичные аксессуары для мобильных телефонов

Пользователей Wi-Fi обязали предъявлять данные паспорта при подключении в публичных местах