loading...

Straight facts about mac malware

Existuje malware pre Mac OS?

Množstvo škodlivého kódu pre Mac je v porovnaní s ostatnými platformami (hlavne s Windowsom) stále zanedbateľné. Avšak toto množstvo pomaly ale isto rastie a cielený škodlivý kód môže nechránený operačný systém poškodiť.

Musím mať na Mac OS antivírusový program?

Pravdou je, že žiadny operačný systém nie je 100% bezpečný. A aj keby programátori odviedli dokonalú prácu, stále existujú aplikácie ako Java/Java Virtual Machine, ktoré môžu byť zneužité pre vstup malwaru do operačného systému. Antivírusový program pridáva do systému ďalšie bezpečnostné vrstvy a tým znižuje riziko nákazy.

Ako to začalo?

Prvé vzorky škodlivého kódu pre Mac OS X boli objavené v roku 2004, konkrétne išlo o OSX/Opener (Renepo). O dva roky neskôr ho spolu s ďalšími hrozbami nasledoval vírus OSX/Leap.A.

Je môj Mac ohrozený malwarom pre Windows?

Škodlivý kód pre Windows nepredstavuje pre Mac bezpečnostnú hrozbu, i keď v niektorých prípadoch je Mac používaný ako šíriteľ malwaru. Nevedomky tak môžete šíriť nakazené súbory na ostatné počítače v sieti.

Aký nebezpečný je malware pre Mac OS X?

V laboratóriách ESET bolo v posledných rokoch detegovaných viac než desať nových rodín hrozieb pre Mac OS X. Napríklad trójsky kôň Flashback infikoval stovky tisícov počítačov.

Významné hrozby

  • 2004

    • Amphimix (MP3Concept)

    • Opener (Renepo)

  • 2005

  • 2006

    • Leap

    • Inqtana

  • 2007

    • Jahlav (RSPlug)

  • 2008

    • MacSweep

    • iMunizator

  • 2009

    • Tored

  • 2010

    • Hovdy

    • HellRTS (HellRaiser)

    • OpinionSpy

    • Boonana

  • 2011

    • BlackHole (darkComet, MusMinim)

    • MacDefender

    • Olyx

    • Flashback

    • Revir and Imuler

    • Devilrobber (Miner)

    • Tsunami (Kaiten)

  • 2012

    • Lamadai

    • Sabpab

    • Morcut (Crisis)

  • 2013

    • Kitm and Hackback

    • Yontoo

    • Minesteal a.k.a. Minesweep

    • OSX/Fucobha (Icefog)

    • OSX/Pintsized

  • 2014

    • OSX/LaoShu

    • OSX/Appetite (Mask, Careto)

    • OSX/CoinThief

Amphimix (MP3Concept)

Prvý škodlivý kód pre OS X

Hoci išlo len o Proof of Concept (PoC), po slovensky o overenie fungovania, ide o prvý oficiálne uvádzaný škodlivý kód pre platformu Mac. Trójsky kôň sa maskoval ako mp3 súbor. K masovému šíreniu nedošlo.

Amphimix dokázal zobraziť dialógové okno s textom: „Áno, toto je aplikácia (tak čo to práve teraz hrá v iTunes?)“. Zároveň Amphimix spustil iTunes a pokúsil sa zahrať štvorsekundový MP3 audio súbor s nahratým smiechom.

Amphimix

Opener (Renepo)

Shell skript s funkciou vzdialeného prístupu

Opener vyžadoval k inštalácii administrátorské práva a fyzický prístup. Od verzie 2.3.8 obvykle kradol a následne odosielal rôzne dáta od konfigurácie systému, informáciách o aplikáciách až po heslá.

Po inštalácii medzi položky spúšťané pri štarte počítača sa Opener spúšťa s právami root. Dokáže obísť sudo – nástroj na operačných systémoch založených na Unixe, ktorý umožňuje cez užívateľské konto spúšťať systémové programy s vyššími právami.

Od verzie 2.3.8 tento malware získal ďalšie vlastnosti a technicky fungoval ako backdoor a spyware – kradol rôzne informácie o konfigurácii a aplikáciách. Taktiež dokázal prelomiť heslá a mal aj iné dekrypčné schopnosti.

Autor tejto hrozby vystupoval pod menom DimBulb. Tvorca rootkitu osxrk z roku 2004 ho uviedol ako „inšpiráciu“.

########################################################################
# opener 2.3.5a - a startup script to turn on services and gather user info & hashes for Mac OS X
########################################################################
# Originally written by DimBulb
# Additional code: hard-mac, JawnDoh!, Dr_Springfield, g@pple
# Additional ideas and advice: Zo, BSDOSX
# This script runs in bash (as is noted by the very first line of this script)
# To install this script you need admin access or
# physical access (boot from a CD or firewire/usb, ignore permissions on the internal drive) or
# write access to either /Library/StartupItems /System/Library/StartupItems or
# write access to any existing StartupItem (which you can then replace with this script) or
# write access to the rc, crontab, or periodic files (and have them run or install the script) or
# you could trick someone who has an admin account into installing it.
# It should go in /System/Library/StartupItems or /Library/StartupItems (when it is executed it
# will move itself to /System/Library/StartupItems)
# Since it is a StartupItem it will run as root - thus no "sudo" commands are needed. If you run
# it as any other user most of the commands will generate errors! (You could sudo ./opener)
# Save start time and date for performance testing

Leap

Prvý skutočný červ pre OS X

Leap sa objavil na začiatku roku 2006 a získal si veľkú mediálnu pozornosť. Maskoval sa ako jpg súbor, ktorý mal obsahovať aktuálne obrázky operačného systému Leopard Mac OS X 10.5 a šíril sa cez iChat messenger.

Pre svoje šírenie Leap vyžadoval interakciu s užívateľom. Na infikovanie všetkých súborov na disku využíval vyhľadávanie Spotlight.

Inqtana

Proof-of-Concept červ

Bol napísaný v Jave a šíril sa cez chybu v Bluetooth systéme firmy Apple.

Tento červ modifikoval nastavenia launchd. Tým si zabezpečil pravidelné spúšťanie počas zapínania systému.

Inqtana sa pokúšal šíriť pomocou zasielania žiadostí OBEX Push na iné zariadenia Bluetooth, ale keďže používal časovo obmedzenú verziu knižnice, nemohol sa šíriť po 24-tom februári 2006. Verzia Inqtana.D zaznamenala hlavné vylepšenie v tom, že nepotrebovala spoluprácu užívateľa pre svoju inštaláciu. Inštaláciou sa vytvoril backdoor prístup do systému nielen cez Bluetooth, ale aj Ethernet a AirPort.

Jahlav (RSPlug)

DNS Changer

Škodlivý kód, ktorý mení nastavenia DNS, sa väčšinou šíril ako falošný kodek. Jeho účelom bolo meniť nastavenia DNS a tým počítaču vnútiť napríklad podvodný obsah internetu.

Tento druh hrozieb je príbuzný známej rodine Zlob, ktorá mala podobnú funkcionalitu pre platformu Windows a bola veľmi rozšírená po celom svete. Najčastejšie sa vyskytovala ako DMG súbor s inštalačným balíkom pod názvom instal.pkg.

Na svoje rozširovanie používal Jahlav rôzne podvodné techniky, napríklad maskovanie za falošné kodeky – čo je bežný postup aj na iných systémoch. Hlavným účelom tejto hrozby bolo zmeniť nastavenia DNS na infikovanom systéme a umožniť tak útočníkovi zmeniť internetový obsah, na ktorý užívateľ pristupoval. Tieto zmeny vykonával špeciálny skript s názvom preinstall. Zápis skriptu na disk a jeho exekúciu zabezpečovala séria shell príkazov. Zaujímavé je, že Jahlav používal tzv. serverový polymorfizmus na generovanie svojich nových kópií, pravdepodobne v snahe vyhnúť sa detekcii IDS (Intrusion Detection System) systémami a antivírusovým softvérom. Skriptové súbory sú maskované rôznymi nástrojmi ako uuencode, sed a menia alebo otáčajú poradie príkazov a maria analýzu.

Popisy hrozieb v encyklopédii ESET:

Súvisiace blogy:

MacSweep

Prvý scareware pre OS X

Tento škodlivý kód sa vydával za bezpečnostný balíček 3 v 1 a mal obsahovať ochranu internetu, operačného systému a optimalizáciu výkonu počítača. MacSweep označoval legitímne aplikácie ako hrozby a pre odstránenie bolo samozrejme nutné program zakúpiť.

Väčšina z toho, čo platí pre MacSweep je aplikovateľné aj na iMunizator: v skutočnosti dokonca niektorí výrobcovia antivírusov označujú iMunizator ako OSX/MacSweep.B a niektoré zdroje reportovali takmer identické obrazovky pre oba „produkty“ s textom „Zbavte sa škodlivých súborov teraz“, pričom sa predstavovali ako „3 v 1 internetový čistič, systémový čistič a optimalizátor výkonu pre váš MAC.“ MacSweep označoval niektoré legitímne aplikácie za hrozbu pre súkromie, malware, zlé cookies alebo „kompromitujúce súbory“. Ak sa užívateľ rozhodol tieto súbory odstrániť, MacSweep požadoval platbu za plnú verziu.

iMunizator

Podvodná bezpečnostná aplikácia

iMunizator sa rovnako ako MacSweep vydával za bezpečnostnú aplikáciu 3 v 1, ktorá mala obsahovať ochranu internetu, operačného systému a optimalizáciu výkonu. Po inštalácii sa objavila hláška o potrebe odstrániť nájdené podozrivé súbory.

Scenár činnosti bol takmer identický, tj. „Zbavte sa škodlivých súborov teraz“, a produkt sa tváril ako „3 v 1 internetový čistič, systémový čistič a optimalizátor výkonu pre váš Mac“. Nebolo by to skvelé, keby ste mali aplikáciu, ktorá vyčistí internet?

iMunizator označoval niektoré neškodné súbory ako „odpad“ a ak bol užívateľ dosť dôverčivý na to, aby ich chcel odstrániť, dozvedel sa, že si musí kúpiť plnú verziu. Autorom iMunizatora nechýbal čierny humor, keď označovali mnohé súbory za hrozbu pre užívateľovu kreditnú kartu.

iMunizator

Tored

E-maliový červ

Ďalší Proof of Concept malware bol objavený v roku 2009 a šíril sa cez email pomocou vlastného SMTP enginu. K masovému šíreniu však nedošlo.

Dokázal tiež kontaktovať vzdialený ovládací server (command and control) a vykonávať obdržané príkazy. Funkcionalitou sa teda veľmi podobá na klasické hromadné zasielače pošty na Windows a tiež na mnohé boty. Reálne však nebol nikdy zachytený žiadny „in-the-wild“, teda skutočne sa šíriaci exemplár.

Hovdy

Spyware

Rodina škodlivého kódu OSX/Hovdy je zbierka skriptov určených k získavaniu užívateľsky citlivých informácií a ich následnému odosielaniu útočníkovi.

Niektoré varianty zasielali informáciu späť v emaili s predmetom „Howdy [meno]”. Zo štrukturálneho hľadiska boli, niektoré naprogramované ako bash skripty a iné pomocou AppleScript. Celkovo sme zaznamenali asi tucet variantov tejto hrozby.

HellRTS (HellRaiser)

Backdoor trójsky kôň

HellRaiser bol trójsky kôň, ktorý kradol heslá a umožňoval útočníkovi vzdialene kontrolovať počítač. Získané informácie (vrátane súborov a snímok obrazoviek) sa odosielali na riadiaci server cez protokoly HTTP, FTP a SMTP.

K získaniu citlivých informácií používal nasledujúce dialógové okno:

iMunizator

Tento trójsky kôň dostáva dáta a príkazy zo vzdialeného počítača na internete a taktiež môže:

  • spúšťať vykonateľné súbory
  • vykonávať shell príkazy
  • vypnúť alebo reštartovať počítač
  • odhlásiť užívateľa
  • zaslať dáta na tlačiareň
  • otvoriť špecifickú URL adresu
  • zmeniť úroveň hlasitosti
  • otvoriť CD/DVD mechaniku
  • zahrať zvukovú stopu alebo video
  • otvoriť webovú stránku v predvolenom prehliadači
  • sledovať obsah na užívateľovej obrazovke

Popis hrozby:

OpinionSpy

Spyware s funkciami vzdialeného prístupu a kontroly

Spyware sa maskoval ako marketingový nástroj pre prieskum trhu a bol ponúkaný ako súčasť inštalácie šetriča obrazovky. Išlo o klasický backdoor, takže ho útočník mohol vzdialene ovládať.

Boonana

Trójsky kôň na sociálnych sieťach

Šíril sa cez sociálne siete pomocou techník sociálneho inžinierstva v októbri 2010. Na spustenie podvodného videa s názvom „Si to naozaj ty?“ bola požadovaná inštalácia špeciálneho softwaru. Po inštalácii došlo k zmene nastavení systému a útočník doňho získal plný prístup. Okrem toho sa Boonana v pravidelných intervaloch pripájal k riadiacemu serveru (štandardná súčasť botnetovej siete).

Na Jave založený trójsky kôň zaútočil na platformy Mac, Linux a Windows.

Popis naznačuje, že ide o Trojan downloader (Java applet), ktorý spúšťa inštalátor, ktorý zase modifikuje systémové súbory. Takže vo výsledku útočník nepotrebuje heslo na prístup do systému. Navyše táto hrozba pravidelne kontaktuje kontrolný server (command and control server). Tiež sa vyskytli prípady, kde bol OnionSpy zasielaní v spame.

Ak potenciálna obeť spustí „video“, objaví sa odkaz, že video sa nedá spustiť bez inštalácie špeciálneho softvéru.

Boonana

Ak tento trik zafunguje, Java applet sa dokáže hravo spustiť na Windowse, OS X a aj na Linuxe. Vo Windows systémoch trójsky kôň pridáva položku do registrov a na OS X skopíruje súbory do /Library/StartupItems a vytvorí sa skript s názvom OSX updates.

Tento malware je primárne zameraný na sociálne inžinierstvo. Prvotný útok je smerovaný na užívateľa, nie na platformu – nedokáže sa spustiť sám. Inými slovami, OnionSpy vyžaduje pre inštaláciu súhlas užívateľa. Aj keď zamýšľaná funkcionalita nie je nepodobná hrozbe Koobface, jej kód sa líši a preto ESET zvolil iný názov – na rozdiel od iných výrobcov antivírusov, ktorí sa rozhodli zahrnúť túto hrozbu pod spoločný názov Koobface.

Boonana

Súvisiaci blog:

BlackHole (darkComet, MusMinim)

Multifunkčný trójsky kôň s funkciou vzdialeného prístupu

Tento RAT (Remote Access Tool alebo nástroj pre vzdialený prístup) sa objavil na začiatku roku 2011. Samotní autori ho označili za betaverziu. Medzi jeho činnosti patrí napríklad vzdialený prístup na počítač alebo presmerovanie prehliadača na iné webové stránky.

„Vitajte v BlackHole RAT. Toto je beta verzia a má nejaké funktcie. Dobrú zábavu;)“

BlackHole

Užívateľské rozhranie obsahuje pár nemeckých slov, ako Ablage a Bearbeiten, hoci odkazy sú viac-menej anglické.

„... som trójsky kôň a infikoval som tvoj Mac. Ja viem, ľudia si myslia, že Mac sa nedá infikovať, ale pozri sa, ty si infikovaný!“

BlackHole

Podľa komentárov v kóde mala byť po čase vytvorená stabilnejšia verzia.

Takže, som úplne nový vírus, stále vo vývoji a pribudne veľa funkcií keď budem hotový.

Avšak projekt darkComet RAT bol vyhlásený za ukončený v júni 2012.

BlackHole mal nasledovné schopnosti:

  • Vykonávanie vzdialených shell príkazov.
  • Nasmerovanie užívateľovho prehliadača na vybranú webovú stránku.
  • Vytvorenie textového súboru na pracovnej ploche.
  • Vypnutie, reštart a uspanie počítača – dokázal tiež zobraziť okno, z ktorého sa dalo dostať len cez reštart počítača.
  • Zobrazenie falošného pop-up odkazu od aplikácie Finder vyžadujúce zadanie administrátorského hesla.

Napriek podobnému menu neexistuje žiadne spojenie medzi Blackhole a nástrojom Black Hole exploit kit.

Popis hrozby:

MacDefender

Prvý masovo rozšírený malware pre OS X

Tento falošný antivírus je známy pod rôznymi názvami. Napríklad aj ako MacProtector, Mac-Detector, MacSecurity, Apple Security Center, MacGuard a MacShield. Objavil sa v máji 2011 a pravdepodobne sa jedná o najrozšírenejší falošný antivírus na platforme Mac.

Infekcia sa šírila cez pozmenené výsledky vyhľadávačov pre vyhľadávanie obrázkov. Ak užívateľ klikol na podsunutý odkaz, zobrazilo sa výstražné okno informujúce o detekcii Trójanov a iných hrozieb.

MacDefender

Na začiatku sa zobrazí buď jednoduché dialógové okno nad oknom prehliadača, alebo falošné okno aplikácie Finder. Hrozba bola postupne aktualizovaná, aby sa viac podobala aplikáciam pre OS X a nie pre Windows. V neskorších variantoch sa dokázal MacDefender nainštalovať cez okno aplikácie Finder, čo vyžadovalo zadanie administrátorských údajov od užívateľa. Ak užívateľ klikol na Zrušiť alebo Odstrániť všetko namiesto toho, aby zatvorili prehliadač bežným spôsobom – prípadne cez vynútené ukončenie – softvér sa aj tak nainštaloval. MacDefender tiež vedel zneužiť funkciu v Safari, ktorá automaticky otvára „bezpečné“ súbory po stiahnutí na automatické sťahovanie a otváranie ďalších hrozieb.

MacDefender

Po inštalácii a spustení sa užívateľ dozvedel, že ide o nezaregistrovanú kópiu a dostal možnosť softvér zakúpiť a registrovať.

MacDefender

Súvisiace blogy:

Olyx

Backdoor so vzdialeným prístupom

Olyxom infikovaný počítač môže útočník vzdialene ovládať, zároveň sa pripája k riadiacemu serveru a aktualizuje svoje funkcie. Vírus môže sťahovať súbory z riadiaceho servera alebo internetu, spúšťať shell príkazy alebo zbierať podrobné informácie o napadnutom počítači.

V niektorých prípadoch dokázal Olyx použiť známe Java exploity na získanie prístupu do infikovaného systému. Trójan obsahoval IP adresu, na ktorú sa snažil pripájať cez TCP port 80.

Olyx

Dokázal vykonávať tieto operácie:

  • sťahovať súbory zo vzdialeného počítača alebo z internetu
  • zasielať súbory na vzdialený počítač
  • rôzne operácie so súborovým systémom
  • exekuovať shell príkazy
  • zaslať zoznam súborov na disku na vzdialený počítač

Popis hrozby:

Flashback

Doposiaľ najväčší známy botnet

OSX/Flashback.A je trójsky kôň, ktorý nakazený počítač zapája do botnetovej siete. K svojmu šíreniu používa techniky sociálneho inžinierstva. Malware sa prezentoval profesionálnym výzorom inštalačného okna. Neskoršie varianty boli oveľa nebezpečnejšie, pretože k inštalácii už nepotrebovali schválenie užívateľa.

Po odsúhlasení inštalácie došlo k inštalácii funkcií vzdialeného prístupu, komunikácii s riadiacim serverom a odosielaniu informácií o počítači.

Flashback ponúka štandardný, profesionálne vyzerajúci inštalátor pre vytvorenie zadných dvierok (backdoor) pomocou dynamickej knižnice Preferences.dylib. Po inštalácii používa enkrypciu RC4 pre komunikáciu so vzdialeným serverom. Pomocou tohto pripojenia zasiela rôzne informácie, napríklad MAC adresu, verziu OS, UUID a iné. Táto hrozba mohla byť potenciálne použitá na injektovanie kódu do cieľového systému.

Neskoršia verzia OSX/Flashback zahŕňala kód exploitu pre zraniteľnosť CVE-2012-0507, čo je Java exploit, ktorý využíva Blackhole explot kit. Znamenalo to, že Trójan bol schopný infikovať počítače bez interakcie s užívateľom. Oracle a neskôr aj Apple vydali aktualizáciu, ktorá tento problém vyriešila.

Táto hrozba zbierala informácie o infikovanom počítači, jeho operačnom systéme a nastaveniach a snažila sa ich zaslať na vzdialený počítač. Komunikovala so vzialeným ovládacím serverom cez HTTP a zastavila sa a odstránila zo systému, ak sa tam nachádzal Little Snitch.

ESET odporúča vypnúť jazyk Java v Safari a OS X, pokiaľ nie je potrebný každodenne.

Flashback znázorňuje nasledujúci obrázok:

Flashback

V septembri 2012 vydal ESET podrobnú technickú analýzu hrozby Flashback.

Popis hrozby:

Súvisiace blogy:

Revir a Imuler

Dropper/downloader s funkciou vzdialeného prístupu

Tento škodlivý kód sa šíri pomocou nakazeného pdf súboru, lepšie povedané Revir sa za pdf súbor vydáva. Po otvorení sa síce zobrazí čínsky text, ale na pozadí sa nainštaluje trójsky kôň Imuler. Ten umožňuje útočníkovi vzdialený prístup a sám komunikuje s riadiacim serverom (C&C).

Táto škodlivá aplikácia sa prezentuje ako PDFsúbor a reálne aj zobrazuje PDF zakomponovaný do svojho kódu. Zatiaľ čo hrozba zobrazuje sporný politický text v čínštine, aplikácia extrahuje downloader, ktorý stiahne a nainštaluje Trojan backdoor (Imuler). Tento backdoor má za úlohu kominovať s ovládacím serverom.

Ide o veľmi podobnú techniku, ako sa používa pre Windows – hlavne čo sa týka rozfázovaného procesu s viacerými komponentmi. PDF súbor neobsahuje žiadnu „0-day hrozbu“, ako to robí špecificky cielený malware, ale je len komponentom, ktorý musí byť spustený predtým, než sa PDF môže zobraziť. Imuler získava dáta a príkazy zo vzdialeného počítača, ktorého URL sa nachádza v jeho tele, alebo z internetu cez HTTP.

Revir/Imuler dokáže vykonať nasledovné operácie:

  • Vytvárať zábery z obrazovky
  • Zasielať súbory na vzdialený počítač
  • Zasielať rôzne informácie z infikovaného počítača
  • Sťahovať súbory zo vzdialeného počítača alebo z Internetu
  • Otvoriť spustiteľné súbory
  • Extrahovať ZIP súbory

Popis hrozby:

Súvisiace blogy:

Devilrobber (Miner)

Spyware s funkciou šírenia na P2P sieťach (torrent)

Program sa skryte šíril ako súčasť kópií legitímneho grafického editora GraficConverter, ktoré sa šírili prostredníctvom P2P sietí. Devilrobber dokázal zneužiť platobný software Bitcoin a odosielal citlivé údaje vrátane užívateľských hesiel, histórie prehliadača a snímok obrazovky.

Devilrobber vykonáva nasledovné aktivity:

  • Otvára porty a komunikuje s C&C servermi
  • Kradne GPU na generovanie Bitcoins, aby oklamal službu Bitcoin. Ak nájde na infikovanom počítači peňaženku s platidlom Bitcoin, tak aj tú ukradne
  • Funguje ako spyware a odosiela užívateľské mená a heslá
  • Hrabe sa v systéme a hľadá rôzne súbory s osobnými informáciami, napríklad históriu prehliadača Safari, taktiež sníma obrazovku a obrázky zasiela na vzdialené počítače
  • Taktiež môže hľadať materiály obsahujúci údaje o zneužívaní detí

Popis hrozby:

Tsunami (Kaiten)

Cez IRC kontrolovaný malware s funkciou vzdialeného prístupu

Škodlivý kód Tsunami útočníkovi po nákaze a pripojení do botnetu umožňuje použiť počítač pre DDoS (Distributed Denial of Service) útoky na rôzne ciele. Tiež podobne ako väčšina škodlivého kódu odosielal na riadiaci server rôzne citlivé informácie.

Je odvodený od staršieho malwaru s názvom Linux/Tsunami, prípadne Kaiten. Rekompilovaná verzia bežala ako Mach-O aj na OS X. Bol označovaný za nízkorizikový, ale zjavne išlo o rozrobený projekt a druhá verzia priniesla „vylepšenia“.

Prvá verzia pre Linux je z roku 2002. Fungovala ako Backdoor Trojan; keď sa jej podarilo nainštalovať, dokázala nasledovať inštrukcie zasielané cez IRC. Tieto inštrukcie boli hlavne zamerané na rôzne DDoS (Distributed Denial of Service) útoky, ale jeho schopnosť spúšťať príkazy z príkazového riadku mu dávali potenciál pre ďalšie formy útokov. Zoznam prijímaných príkazov bol prebratý z komentára v zdrojovom kóde Linux C.

Tsunami

Popri DDoS útokoch tiež backdoor umožňoval vzdialenému užívateľovi sťahovať súbory, zvyčajne ďalší malware alebo aktualizácie pre kód Tsunami. Vďaka schopnosti vykonávať príkazy mohol útočník v podstate získať nadvládu nad napadnutým systémom.

Popis hrozby:

Súvisiaci blog:

Lamadai

Backdoor trójsky kôň zameraný na tibetskú mimo vládnu organizáciu

Útok spočíval v nalákaní ľudí na návštevu škodlivej stránky, ktorá následne využila slabiny Java CVE-2011-3544 dostala na počítače obetí škodlivé súbory.

Webserver slúžil platformovo špecifickému JAR (Java Archive) dropperu založenému na UserAgent String prehliadača a šíril tak infekcie do systémov Windows a OS X.

OSX/Lamadai.A má zabudované všetky funkcie typického backdoor trójskeho koňa. Vie sťahovať a spúšťať súbory ale ich aj uploadovať priamo do Command and Controll (C&C). Na Mac OS X dokáže rozbaliť multiplatformový útok na zaniteľnosť v Java (CVE-2011-3544) a zaútočiť tak na systém používateľa.

Tento, pre OS X špecifický dropper, bol podsúvaný aj používateľom na systéme Linux, kde však nespôsobil žiadne škody, keďže bol naprogramovaný na systém Mac. OS X používa na exekučné súbory formát Mach-O. Pre OSX/Lamadai bol formát Mach-O len v 64 bitovej verzii, čo je zvláštne, lebo väčšinu času sú k dispozícii 32 aj 64 bitové verzie spúšťača.

Popis hrozby:

Súvisiace blogy:

Sabpab

Trójsky kôň s funkciou vzdialenej kontroly

Tento malware podobne ako mnohé ďalšie škodlivé kódy pre OS X využíva bezpečnostnú chybu v Jave CVE-2012-0507 a umožňuje vzdialený prístup a kontrolu nakazeného počítača. Varianty používajú bezpečnostnú chybu v MS Office Word.

Dokáže vykonávať nasledovné operácie:

  • Zasielať zoznamy súborov na disku na vzdialený počítač
  • Sťahovať súbory zo vzdialeného počítača alebo z internetu
  • Zasielať súbory na vzdialený počítač
  • Otvoriť spustiteľné súbory
  • Vytvárať zábery z obrazovky

Zdá sa, že bol vytvorený 16. marca 2012, prípadne o niečo skôr. Podľa dostupných správ je príbuzný so SabPab (iný názov SabPub) a s APT útokmi nazvanými Luckycat. Dokonca je možné, že existuje prepojenie aj s útokmi na tibetských aktivistov. Neskoršie útoky využívali dokumenty Word využívajúce chybu CVE-2012-0507 (pretečenie zásobníka) v Microsoft Office. Neskorší variant nevyužíva Java exploit CVE-2012-0507, takže aktualizácie od Apple neposkytujú ochranu pre túto staršiu zraniteľnost Office.

Popis hrozby:

Morcut (Crisis)

Multiplatformový trójsky kôň

Morcut je trójsky kôň špeciálne určený pre operačný systém Snow Leopard a Lion. Počítač infikuje bez nutnosti interakcie od užívateľa. Spektrum škodlivej činnosti vírusu je veľmi široké. Od odosielania citlivých údajov, sledovania stlačených klávesov na klávesnici, myši, spustených procesov až po IM transakcie.

Zatiaľ nebolo zistené, že by sa voľne šíril – pôvodné vzorky boli nájdené pomocou služby VirusTotal. Škodlivý JAR súbor obsahoval zavádzajúco pomenovaný súbor WebEnhancer, ktorý sledoval, či Java Virtual Machine, v ktorej sa nachádza, beží pod Windows alebo OS X. Ak išlo o Windows, tak inštaloval verziu Swizzor. Ak išlo o OS X, inštaloval OSX/Crisis.

Crisis v skutočnosti nie je prvým a jediným pokusom o malware nezávislý na hardvéri, ale to však jeho význam neznižuje. Celý balík malwaru je zaujímavý aj inými technickými aspektmi, napríklad rozsahom aktivít a dát, ktoré má monitorovať – v podstate ide o plnohodnotný spyware. Citlivé údaje, ktoré sleduje, zahŕňajú IM transakcie, lokácie, stlačené klávesy, pohyb myši, obsah skopírovaný do schránky, bežiace procesy a rôzne ďalšie informácie o zariadeniach a systémovom prostredí.

Súvisiaci blog:

Kitm a Hackback

Skupiny malvéru so schopnosťou sledovania a sú spojené s Operáciou Hangover a útokom na aktivistu z Oslo Freedom Forum

OSX/Kitm je backdoor trójsky kôn, ktorý môže byť použitý na sledovanie aktivity používateľa. Navyše dokáže spustiť ďalšie spúšťače, ktoré útočník zašle na počítač, čím dramaticky zvyšuje svoju funkcionalitu. Tento trójsky kôn dokonca dokáže vytvárať screenshoty obrazovky a posielať ich na vzdialený počítač

Spustenie pri každom štarte systému je zabezpečené zmenou súboru /Users/%username%/Library/Preferences/com.apple.loginitems.plist

OSX/Hackback je trójsky kôň s podobnou funkciou ako OSX/Kitm a bol vytvorený tým istým programátorom.

Tieto skupiny malware boli spojené s operáciou Hangover a špionážnym útokom proti aktivistovi v Oslo Freedom Forum.

Popis hrozby:

Súvisiaci blog:

Yontoo

Nedôveryhodný plug-in na prehliadač so schopnosťou zobrazovať a redirektovať reklamný obsah.

OSX/Adware.Yontoo je príklad hrozby typu greyware a Potenciálne nechcenej aplikácie (PUAs) útočiacej na OS X a Windows.

Na OS X sa vydáva za plug-in rozšírenie pre populárne prehliadače, akými sú Safari, Chrome alebo Firefox.

Tento plug in zobrazuje reklamy a správa sa ako trójsky kôň. Je schopný ako zobrazovať obsah, tak aj presmerovať používateľa na iné stránky.

Nákazy typu greyware sú známe tým, že sa tvária ako skutočné programy skutočných firiem a sú sprevádzané špekuláciami o ich užitočnosti, alebo škodlivosti. Bolo tomu tak aj v prípade Yontoo.

Apple na túto hrozbu zareagoval vydaním aktualizácie na Xproject, ktorá hrozbu identifikovala ako OSX.AdPlugin.i

Popis hrozby:

Súvisiaci blog:

Súvisiace štúdie:

Minesteal/Minesweep

Cross-platformový trójsky kôň písaný v Java zameraný na hráčov

Rovnako ako známy typ Win32/PSW.OnlineGames na operačnom systéme Windows, Java/Spy.Minesteal je tiež hrozba zameraná práve na online hráčov.

Vírus kradne prihlasovacie údaje ku hre Minecraft. Tvári sa ako rozšírenie „Minecraft Hack Kit“, ktoré má hráčovi poskytnúť rozšírené herné možnosti.

Ako hrozba písana v Java, tento cross-platformový trójsky kôň vie infikovať systémy Windows aj OS X.

Popis hrozby:

OSX/Fucobha (Icefog)

Špionážny backdoor za útokmi na ázijské korporácie a vlády.

Toto je OS X verzia hrozby použitej pri viacerých útokoch cielených na Východnú Áziu. Pri týchto útokoch boli použité aj trójske kone cielené na systém Windows. Ľudia za infiltráciou Fucobha si vyberali, na koho budú útok cieliť.

Tento malware je navrhnutý na kradnutie citlivých informácií a v systéme za sebou nezanecháva skoro žiadne stopy.

OSX/Fucobha

V jej šírení bolo dôležité, že sa tvárila ako skutočná aplikácia na OS X, ako napríklad Img2icns, AppDelete a CleanMyMac. Pri inštalácii sa do systému dostal backdoor trójsky kôň. Hrozba OSX/Fucobha bola zachytená hlavne v Číne, ale hlásenia o jej aktivite prichádzajú aj z iných krajín.

Malware dokáže vykonávať nasledujúce akcie:

  • Ukradnúť prihlasovacie údaje a heslá k viacerým sieťovým zdrojom na firemnej LAN
  • Posielať súbory z infikovaného počítaču na svoj Command and Control (C&C) server
  • Zbierať systémové informácie nakazeného počítaču
  • Spúšťať shell príkazy a vyhľadávať v databáze infikovaného počítaču
  • Sťahovať súborov z C&C servera a spúštať ich

OSX/Pintsized

Backdoor, ktorý používa Perl skripty a Mach-O binárne súbory.

Tento backdoor nazvaný Pintsized sa skladá z dvoch častí: Perl skriptu uloženého v .plist súboroch a Mach-O binárneho súboru. Po infikovaní sa spustí reverzný shell príkaz, ktorý útočníkom poskytne vzdialený prístup do systému.

OSX/Pintsized

OSX/Pintsized používa modifikované verzie OpenSSH, zvané „cupsd“. Na šifrovanie sieťovej komunikácie s C&C serverom využíva zabudovaný kľúč RSA.

Na napadnutom zariadení je táto zmenená verzia OpenSSH lokalizovaná na adrese: “/Users/[USER NAME]/.cups/cupsd“.

OSX/LaoShu

Trójsky kôň šírený prostredníctvom falošných mailov.

OSX/LaoShu.A sa šíri falošnými mailami, ktoré sa tvária ako maily od spoločnosti FedEx. Obeť je informovaná, že jej zásielka nebola doručená a je vyzvaná na zistenie podrobnejších informácií kliknutím na priložený link. Aj ked sa mail tvári, že odkazuje na PDF súbor na doméne FedEx, v skutočnosti je používateľ presmerovaný na aplikáciu na útočnikovom serveri.

Stiahnutý súbor je v skutočnosti aplikácia, ale prostredníctvom ikony sa tvári ako PDF súbor. Po otvorení je však používateľ upozornený, že sa jedná o aplikáciu. Zaujímavosťou je, že táto hrozba má aj digitálny podpis a obchádza tak Gatekeeper bezpečnosť na Mac OS X 10.8 a 10.9.

Keď sa spustí, OSX/LaoShu dokáže vykonávať nasledovné nežiadané akcie:

  • Sťahovať súbory z Command and Control (C&C) servera a spustiť ich na cieľovom počítači.
  • Uploadovať súbory z počítača na C&C server.
  • Spúšťať shell príkazy

OSX/Appetite (Mask, Careto)

Komponent OS X používaný na kyber špionáž proti viacerým cieľom.

OSX/Appetite je komponentom Mac OS X, ktorý bol odhalený pri mnohých útokoch na vládne, diplomatické, alebo iné ciele.

Táto premyslená hrozba je zložená aj niektorých komponentov systému Windows a využíva rootkit a bootkit techniky.

Backdoor pre OS X sa pripojí na Command and Control (C&C) server a čaká na príkazy od útočníka. Vie vykonať nasledujúce akcie:

  • Spúšťať programy na počítači
  • Spúšťať shell príkazy

OSX/CoinThief

Malware s backdoor funkcionalitou, ktorý kradne Bitcoiny.

CoinThief je škodlivý malware balík pozostávajúci z binárneho patchera, rozšírenia prehliadaču a backdoor komponentu.

Tento trójsky kôň sa šíril viacerými metódami: na sieti Github (kde sa jeho binárny kód nezhodoval so zdrojovým kódom), či na populárnych sieťach ako macupdate.com a download.com spoločnosti CNET a ako cracknutá aplikácia na torrentoch. Niekoľko aplikácií bolo zneužitých na krytie tohto trojana, medzi nimi aj: Bitcoin Ticker TTM (To The Moon), BitVanity, StealthBit, Litecoin Ticker, BBEdit, Pixelmator, Delicious Library, či svetoznáma aplikácia Angry Birds.

Úloha patchera je nájsť a pozmeniť originálne verzie Bitcoin-Qt peňaženkovej aplikácie. Analyzované vzorky napádali verzie Bitcoin-Qt 0.8.1, 0.8.0 a 0.8.5. Skoršia verzia pozmenila Bitcoin-Qt pridaním škodlivého kódu, ktorý poslal skoro všetky Bitcoiny obete na jednu adresu patriacu útočníkovi. Táto neoprávnená transakcia prebehla iba v prípade, že vo virtuálnej peňaženke boli aspon 2BTC.

Rozšírenia útočia na Chrome a Firefox a vydávajú sa za „Pop-up blocker“. Tieto rozšírenia sledujú navštívené stránky, sťahujú škodlivý JavaScript a infikujú ním viaceré stránky týkajúce sa Bitcoin. Takéto JavaScripy boli schopné presmerovať Bitcoin transakcie na adresu útočníka, alebo jednoducho zneužiť prihlasovacie údaje do jednotlivých služieb.

Navyše tento backdoor komponent umožňuje útočníkovi získať plnú kontrolu nad napadnutým počítačom a dokáže vykonávať nasledujúce akcie:

  • Zbierať informácie o infikovanom počítači, jeho používateľovi a inštalovaných software riešeniach
  • Spúšťať na infikovanom počítači shell skripty
  • Uploadovať súbory z infikovaného počítaču na vzdialený server
  • Aktualizovať sa na novšiu verziu.

OSX/CoinThief

Súvisiaci blog: