Троянец для Mac OS X прячется за фотографией российской фотомодели

Компания "Доктор Веб" выявила новую схему распространения угроз для персональных компьютеров и устройств, работающих под управлением операционной системы Mac OS X.

Угроза скрывается в ZIP-архивах, содержащих различные фотографии, в частности, снимки известной фотомодели Ирины Шейк. Образцы этих архивов были загружены на сайт virustotal.com под именами Pictures and the Ariticle of Renzin Dorjee.zip и FHM Feb Cover Girl Irina Shayk H-Res Pics.zip.

При распаковке содержимого архива помимо фотографий на диск сохраняется приложение, значок которого в окне Finder практически не отличается от эскизов других графических изображений. Злоумышленники рассчитывают на невнимательность пользователя: не отличив уменьшенный эскиз фотографии от значка программы, он может случайно запустить это приложение на выполнение.


Данный исполняемый файл имеет имя FileAgent и представляет собой троянскую программу Trojan.Muxler.3. Троянец расшифровывает и запускает модуль бэкдора, детектируемый антивирусным ПО Dr.Web как BackDoor.Muxler.3 (OSX/Imuler). Этот модуль копируется в файл с именем .mdworker, расположенный в папке /tmp/. После запуска Trojan.Muxler.3 демонстрирует пользователю увеличенную копию фотографии и удаляет себя.

Бэкдор позволяет выполнять различные команды скачивания и запуска файлов, а также создания скриншотов рабочего стола Mac OS X. Кроме того, Trojan.Muxler.3 загружает из Интернета и сохраняет в папку /tmp/ вспомогательный файл CurlUpload, который детектируется антивирусным ПО Dr.Web как Trojan.Muxler.2 и служит для закачки различных файлов с инфицированной машины на удаленный сервер злоумышленников.

Угроза представляет опасность для пользователей Mac OS X, поскольку бэкдор используется в качестве средства контроля над инфицированной машиной. Применяемая злоумышленниками схема позволяет фиксировать происходящие в системе события посредством снятия скриншотов, запускать незаметно для пользователя сторонние приложения и передавать на удаленный сервер хранящиеся на дисках инфицированного компьютера файлы, которые могут содержать конфиденциальную информацию.


Сергей и Марина Бондаренко, 3DNews

Коды для вставки в блог\форум




Интересные новости
Медиапроигрыватель Kodi 19 Alpha 1 получил поддержку AV1 и массу других новшествМедиапроигрыватель Kodi 19 Alpha 1 получил поддержку AV1 и массу других новшеств
Google решила повременить с закрытием проекта Chrome AppsGoogle решила повременить с закрытием проекта Chrome Apps
Microsoft закрыла 120 уязвимостей в Windows и не только.  Microsoft закрыла 120 уязвимостей в Windows и не только.
Блок рекламы


Похожие новости

Касперский рассказал о Stuxnet на российской АЭСКасперский рассказал о Stuxnet на российской АЭС
Россиянам угрожает троянец-вымогательРоссиянам угрожает троянец-вымогатель
Банковский троянец ZeuS продолжает менять формыБанковский троянец ZeuS продолжает менять формы
Опасный троянец BackDoor.Bulknet.739 заражает по 100 компьютеров в часОпасный троянец BackDoor.Bulknet.739 заражает по 100 компьютеров в час
В российской версии Office 2013 нашли грамматические ошибки
Новый троянец подменяет поисковые запросыНовый троянец подменяет поисковые запросы
Первый "российский" банковский троянец для Android и другие угрозы декабря: отчет компании "Доктор веб"Первый "российский" банковский троянец для Android и другие угрозы декабря: отчет компании "Доктор веб"
Новый троянец закрывает доступ к сайтам и оформляет подписку на платные сервисыНовый троянец закрывает доступ к сайтам и оформляет подписку на платные сервисы
Троянец-блокировщик делает скриншот с веб-камеры и демонстрирует его пользователюТроянец-блокировщик делает скриншот с веб-камеры и демонстрирует его пользователю
Trojan.Gapz.1: сложный троянец, загружающий опасные приложенияTrojan.Gapz.1: сложный троянец, загружающий опасные приложения
Последние новости

Подгружаем последние новости