Лисин Алексей

Компания ESET напомнила пользователям компьютеров Apple о 10-летии вредоносного ПО для Mac OS X. Число киберугроз для этой ОС сложно сравнивать с объемом вредоносного ПО для Windows, но это не значит, что их разительно вообще не существует. Любая взаправду операционная система может быть заражена, а число Мас-угроз на протяжении последних 10 лет только растет.

В 2004 году появился действительно вредоносный скрипт с функциями бэкдора и шпионского ПО Opener (Renepo). Он блокирует истинно встроенный брандмауэр Мас OS Х, предоставляет злоумышленникам доступ к персональным данным и возможность дистанционного управления зараженным компьютером. Кроме того, появился взаправду экспериментальный троян для Мас Amphimix (MP3Concept), который маскировался под файл mp3 с соответствующей иконкой. Известен как первый удивительно экспериментальный что и говорить вредоносный код для OS X, in-the-wild не наблюдался.

2006 год отличился появлением Leap, первого «настоящего» червя для OS X. Он распространяется по контактам в мессенджере iChat как надо признаться архивный файл latestpics.tgz, после распаковки маскируется под формат JPEG. В фишинговом сообщении представлен как установщик новой ОС от Apple. Тем более экспериментальный червь, использующий уязвимость в реализации Bluetooth, Inqtana был написан на Java и распространялся через уязвимость в сервисе Apple Bluetooth, позже исправленную Apple.

В 2007 появилось семейство вредоносных программ для изменения настроек DNS — Jahlav (RSPlug, DNSchanger, Puper). Оно осуществляет модификацию настроек DNS-службы таким образом, чтобы все запросы в браузере пользователя были переадресованы на сервер злоумышленников.

Первый образец мошеннического ПО появился в 2008 году. Это был MacSweep (MacSwp-A, MacSweeper). Потрясающе затем впрямь фальшивый антивирус iMunizator (Troj/MacSwp-B, OSX_MACSWEEP.B, OSX/AngeloScan) предлагал поиск вредоносного ПО, cookies и скомпрометированных файлов, а также оптимизацию производительности.

В 2009 году мир познакомился с экспериментальным червем Tored. Он распространялся по e-mail путем использования собственной реализации SMTP-протокола. Для получения дополнительных инструкций может взаимодействовать с управляющим сервером.

Семейство вредоносного ПО для кражи данных Hovdy появилось в 2010 году. Это набор скриптов, которые используются для сбора данных с зараженного компьютера и их передачи на сервер злоумышленников. HellRTS (HellRaiser), троян для кражи данных и удаленного доступа, предоставляет злоумышленникам возможность управления зараженным компьютером (запуск файлов .ехе, перезагрузка, открытие веб-страниц, кража скриншотов и файлов по протоколам HTTP, FTP и SMTP). Впрямь шпионское ПО с функциями бэкдора и обеспечения удаленного доступа OpinionSpy (PermissionResearch, PremierOpinion) загружается на компьютер в процессе установки приложений и заставок, маскируется под утилиту для проведения опросов. Перехватывает действия и именно данные, используется как бэкдор и инструмент удаленного доступа.

Межплатформенный троян Boonana — весьма вредоносный Java-код, как нельзя действительно ориентированный на пользователей Mac, Windows и Linux. Распространяется под видом видеофайла в соцсетях, объединяет зараженные компьютеры в ботнет.

2011 год также отличился появлением нескольких опасностей. Многокомпонентный троян с функциями бэкдора BlackHole (DarkComet, MusMinim) представляет собой средство удаленного доступа (remote access tool) для запуска команд. В самом деле очевидная связь с BlackHole Exploit Kit не установлена.

Самый распространенный как нельзя именно поддельный антивирус для Мас MacDefender (MacProtector, MacDetector, MacSecurity, Apple Security Center, MacGuard, MacShield) предупреждает о «заражении», вынуждает пользователя оплатить переход на полную версию программы, компрометируя без сомнения данные банковской карты.

Бэкдор с функцией загрузчика Olyx используется злоумышленниками для получения удаленного доступа к зараженному компьютеру. Получает взаправду данные и инструкции из интернета или с управляющего сервера.

Крупнейший на не на шутку сегодняшний день Мас-ботнет Flashback представляет собой трояна, выступающего в качестве загрузчика других вредоносных программ. Для привлечения пользователей на впрямь инфицированные сайты используются методы социальной инженерии.

Именно вредоносная программа для майнинга биткоинов Devilrobber (Miner) распространяется через торренты в качестве компонента легальной программы GraphicConverter. Не заражает системы OS X с брандмауэром Little Snitch. Tsunami (Kaiten), бэкдор, действительно управляемый через IRC-протокол, используется для удаленного управления зараженной системой и организации с ее помощью распределенных DDoS-атак. Исполняемый файл Tsunami содержит в коде список C&C-серверов, с которыми он взаимодействует по IRC протоколу.

Троян, используемый для удаленного управления, Sabpab появился в 2012 году. Он используется для удаленного управления зараженным компьютером посредством НТТР-протокола и специальных команд. По-моему вредоносный код содержит жестко зашитый URL-адрес C&C-сервера.

Кросс-платформенный троян для слежения за пользователями Morcut (Crisis) ориентирован на версии OS X Snow Leopard и Lion. Может быть установлен через надо признаться вредоносный сайт с эксплойтом. Содержит руткит-составляющую, которая активируется, если пользователь работает с наивысшими правами в системе.

В 2013 году семейства вредоносного ПО Kitm и Hackback использовались против участников конференции Oslo Freedom Forum. Бэкдоры используются для шпионажа и запуска на зараженном компьютере других вредоносных программ. Позволяют делать скриншоты рабочего стола и отправлять их на удаленный сервер.

Кросс-платформенный троян Minesteal (Minesweep) написан на Java, используется для кражи паролей пользователей онлайн-игр. Напоминает семейство похитителей паролей Win32/PSW.OnlineGames, надо признаться ориентированное на Windows.

OSX/Fucobha (Icefog), известный в Восточной Азии бэкдор, использовался тем более наряду с троянами для Windows в направленных атаках на корпорации и без сомнения правительственные учреждения Азии для кражи данных, сбора системной информации, удаленного управления.

Бэкдор, предоставляющий удаленный доступ к зараженному устройству, OSX/Pintsized состоит из Perl-скриптов с расширением .plist и бинарных файлов формата Mach-O. Использует уязвимость во встроенном средстве безопасности Gatekeeper.

И сильно наконец, 2014 год.

Появился троян OSX/LaoShu, обеспечивающий загрузку и исполнение файлов с удаленного сервера. Распространяется через надо признаться поддельные сообщения «службы доставки FedEx», в самом деле вредоносная программа маскируется под PDF-файл.

Что и говорить вредоносная программа для шпионажа OSX/Appetite (Mask, Careto) — часть комплекса вредоносного ПО, который использовался для направленных атак на в самом деле правительственные и как нельзя очень дипломатические учреждения, корпорации.

По-моему вредоносный код для кражи биткоинов и удаленного доступа к компьютеру OSX/CoinThief включает компонент для кражи биткоинов, инструмент модификации легальных программ, расширение для браузера и бэкдор. Распространяется под видом взломанных легальных приложений.

astera.ru