Niebezpieczny trojan znowu atakuje Mac OS X
2015-03-04 09:37
Przeczytaj także: Mniej ataków hakerskich na polskie firmy. Nanocore zdetronizował Emotet
Mac.BackDoor.OpinionSpy to program znany ekspertom już od ponad czterech lat. Pierwsza jego wersja pojawiła się w 2010 roku. Teraz atakuje trzecia, która ostatnio trafiła dodo laboratorium antywirusowego Doctor Web. Eksperci opatrzyli ją nazwą Mac.BackDoor.OpinionSpy.3.Mac.BackDoor.OpinionSpy.3 rozpowszechnia się poprzez trzyetapowy schemat działań. Na stronach internetowych oferujących różne rodzaje oprogramowania dla Mac OS X, użytkownicy mogą natknąć się na tylko pozornie nieszkodliwe programy. Zawierają one jednak w swoich dystrybucjach pliki typu postinstall uruchamiane pod koniec instalacji. Jeśli podczas instalacji takiej, pobranej wcześniej aplikacji, użytkownik zgodzi się na zapewnienie jej uprawnień administratora, proces postinstall wysyła do serwera intruzów serię żądań typu POST i w odpowiedzi otrzymuje link do pobrania pakietu z rozszerzeniem .osa, zawierającego archiwum ZIP. Postinstall rozpakowuje archiwum, wyodrębnia plik wykonywalny nazwany PremierOpinion i plik XML zawierający wymagane do tej operacji dane konfiguracyjne, a następnie uruchamia program.
Po uruchomieniu się na komputerze będącym celem ataku PremierOpinion podłącza się także do serwera kontrolno-zarządzającego i otrzymuje link do pobrania innego pakietu .osa, z którego jest rozpakowywana i instalowana kompletna aplikacja o tej samej nazwie - PremierOpinion. Ta aplikacja zawiera kilka plików wykonywalnych: program PremierOpinion, który nie zawiera żadnych złośliwych funkcji i backdoor PremierOpinionD, który wprowadza niebezpieczne funkcjonalności wymierzone w użytkownika systemu Mac OS X.
Trojan podczas instalacji pozyskuje prawa administracyjne i działa w systemie z uprawnieniami administratora. Jeśli na samym początku użytkownik wybierze "I Disagree" („Nie zgadzam się”) w okienku dialogowym instalatora, pobrany przez niego z Internetu program zostanie zainstalowany na komputerze bez żadnych dodatkowych komponentów szpiegujących:
fot. mat. prasowe
Okno instalacji PremierOpinion
Gdy użytkownik wybierze "I disagree" program zainstaluje się bez żadnych dodatkowych komponentów szpiegujących
Jeśli użytkownik wybierze "I Agree" („Zgadzam się”), PremierOpinion zostanie zainstalowany na komputerze jako dodatek do pobranej aplikacji. Jego ikona pojawi się na pasku zarządzającym i na liście zainstalowanych aplikacji:
fot. mat. prasowe
Ikona PremierOpinion
Ikona zainstalowanego programu pojawia się na pasku zarządzającym i na liście zainstalowanych aplikacji
Jego interfejs jest bardzo skromny:
fot. mat. prasowe
Interfejs PremierOpinion
Interfejs programu nie należy do wyszukanych
Emotet największym cyberzagrożeniem w Polsce, a Formbook na świecie
oprac. : Aleksandra Baranowska-Skimina / eGospodarka.pl
Przeczytaj także
-
![AgentTesla najpopularniejszym typem szkodliwego oprogramowania w IV 2023]( "AgentTesla najpopularniejszym typem szkodliwego oprogramowania w IV 2023 [© pixabay.com]")
AgentTesla najpopularniejszym typem szkodliwego oprogramowania w IV 2023
-
![Trojan bankowy Emotet znowu atakuje]( "Trojan bankowy Emotet znowu atakuje")
Trojan bankowy Emotet znowu atakuje
-
![Wciąż czekamy na zmierzch Qbota]( "Wciąż czekamy na zmierzch Qbota [© Artur Marciniec - Fotolia.com]")
Wciąż czekamy na zmierzch Qbota
-
![Złośliwe oprogramowanie Qakbot unieszkodliwione, ale na radość za wcześnie?]( "Złośliwe oprogramowanie Qakbot unieszkodliwione, ale na radość za wcześnie? [© Brian Jackson - Fotolia.com]")
Złośliwe oprogramowanie Qakbot unieszkodliwione, ale na radość za wcześnie?
-
![Trojan bankowy Qbot najpupularniejszy na świecie w VI 2023]( "Trojan bankowy Qbot najpupularniejszy na świecie w VI 2023 [© Brian Jackson - Fotolia.com]")
Trojan bankowy Qbot najpupularniejszy na świecie w VI 2023
-
![Poczta elektroniczna pod ostrzałem. 5 najczęstszych form ataku]( "Poczta elektroniczna pod ostrzałem. 5 najczęstszych form ataku [© pixabay.com]")
Poczta elektroniczna pod ostrzałem. 5 najczęstszych form ataku
-
![Guloader najczęściej wykrywanym złośliwym programem w Polsce]( "Guloader najczęściej wykrywanym złośliwym programem w Polsce")
Guloader najczęściej wykrywanym złośliwym programem w Polsce
-
![Trojan Qbot to nr 1 na świecie, a w Polsce - Emotet]( "Trojan Qbot to nr 1 na świecie, a w Polsce - Emotet")
Trojan Qbot to nr 1 na świecie, a w Polsce - Emotet
-
![Trojan bankowy IcedID na czele zagrożeń w Polsce]( "Trojan bankowy IcedID na czele zagrożeń w Polsce [© vchalup - Fotolia.com]")
Trojan bankowy IcedID na czele zagrożeń w Polsce
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (0)
![Majówka 2024 może być tańsza [© juli_zmachynskaya z Pixabay]](https://s3.egospodarka.pl/grafika2/majowka/Majowka-2024-moze-byc-tansza-259282-50x33crop.jpg "Majówka 2024 może być tańsza [© juli_zmachynskaya z Pixabay]")
Majówka 2024 może być tańsza
