Mac World

«Доктор Веб» предупредил об опасном бэкдоре для Mac

Специалисты Dr.Web обнаружили троянца для операционной системы macOS, способного выполнять поступающие от злоумышленников команды. Бэкдор был добавлен в вирусные базы компании под именем Mac.BackDoor.Systemd.1.

В момент запуска зловред выводит в консоль сообщение с опечаткой «This file is corrupted and connot be opened» и перезапускает себя в качестве демона с именем systemd. При этом Mac.BackDoor.Systemd.1 пытается скрыть собственный файл, установив для него соответствующие флаги. Затем троянец регистрирует себя в автозагрузке, для чего создает файл с командами sh и файл .plist.

Зашифрованная конфигурационная информация хранится в самом файле троянца. В зависимости от нее Mac.BackDoor.Systemd.1 либо сам устанавливает связь с управляющим сервером, либо ожидает входящего запроса на соединение.

После установки связи бэкдор выполняет поступающие команды и периодически отсылает злоумышленникам следующую информацию:

  • наименование и версия операционной системы;
  • имя пользователя;
  • наличие у пользователя привилегии администратора (root);
  • MAC-адреса всех доступных сетевых интерфейсов;
  • IP-адреса всех доступных сетевых интерфейсов;
  • внешний IP-адрес;
  • тип процессора;
  • объем оперативной памяти;
  • данные о версии вредоносной программы и ее конфигурации.

Троянец имеет собственный файловый менеджер, с использованием которого киберпреступники могут выполнять различные действия с файлами и папками на зараженном компьютере.

Бэкдор способен выполнять следующие команды:

  • получить список содержимого заданной директории;
  • прочитать файл;
  • записать в файл;
  • получить содержимое файла;
  • удалить файл или папку;
  • переименовать файл или папку;
  • изменить права для файла или папки (команда chmod);
  • изменить владельца файлового объекта (команда chown);
  • создать папку;
  • выполнить команду в оболочке bash;
  • обновить троянца;
  • переустановить троянца;
  • сменить IP-адрес управляющего сервера;
  • установить плагин.

В компании отметили, что Mac.BackDoor.Systemd.1 обнаруживается и удаляется продуктами Dr.Web. Специалисты порекомендовали установить их антивирус для Mac.

10 комментариев

Написать комментарий