Обнаружено вредоносное ПО для Windows, адаптированное для систем Mac OS X

Исследователи анализируют новый код пятилетней давности из программы-задней двери, использовавшейся на Windows, который, как они обнаружили, был интегрирован в программу шпионского ПО, предназначенную для компрометации систем Mac OS X. Названный XSLCmd исследователями, этот вредоносный код для OS X был подтвержден 10 августа VirusTotal. Другие антивирусы пока не смогли его обнаружить, что подтверждает, что авторы используют гораздо более сложное кодирование.

Ведущая исследовательская компания в области безопасности FireEye в своем блоге о данном вредоносном ПО сообщила, что код вредоносного ПО совместим с архитектурами процессоров PowerPC и 64/86-бит; помимо процедуры установки, также присутствует задняя дверь, которая выполняется, как только родительский процесс запущен.

“Код задней двери был портирован на OS X из Windows-задней двери, которая широко использовалась в целевых атаках на протяжении последних нескольких лет и была обновлена множество раз в процессе”

Возможности, присутствующие в задней двери, включают открытие обратной оболочки, а также действия по просмотру файлов и их передаче на удаленное место, или запуску процедур самоустановки и установке других исполняемых файлов. FireEye утверждает, что по сравнению с версией для Windows, версия для OS X имеет увеличенную функциональность, которая позволяет мониторить жертву, записывая нажатия клавиш и экран компьютера. Это в сочетании с тем фактом, что она до сих пор не была обнаружена, указывает на очень опытного автора вредоносного ПО.

Исследователи считают, что задняя дверь XSLCmd используется в кибершпионских действиях. Исследователи идентифицировали киберпреступников как GREF. Эта группа специализируется на кибершпионаже и активна с 2009 года. Она была одной из групп, которые взломали Оборонную промышленную базу США, а также компании в области электроники и инженерии по всему миру в период с 2011 года по настоящее время. Хотя не известно, состоит ли эта группа из каких-либо государственных деятелей из какой-либо страны.

С растущей популярностью компьютеров и ноутбуков Apple это становится новой головной болью для материнской компании. На данный момент вредоносные программы для Mac были редкостью. Портирование вредоносного ПО Windows на другие операционные системы не является ни сложной, ни новой практикой. Принимая форму исполняемого файла Mach-O, задняя дверь копируется в “$HOME/Library/LaunchAgents/clipboardd” и создает файл в папке, который обеспечивает запуск угрозы при перезагрузке компьютера, как только жертва входит в систему.

В процессе установки вредоносное ПО проверяет версию операционной системы, и, похоже, версии выше 10.8 (Mountain Lion) не принимаются во внимание. Это может указывать на то, что авторы либо нацелились на жертв, использующих это издание OS X, либо этот код был создан специально для Mountain Lion.

FireEye считает, что киберпреступники / кибербанда, стоящие за этой угрозой, не только “продвинутые”, но и “адаптивные”, учитывая тот факт, что им удалось добиться совместимости своего инструментария с новыми операционными системами, принятыми их жертвами, и получить постоянство на зараженных машинах.

Вы можете прочитать полную статью о XSLCMD здесь