loading...

Tényeg a Mac gépeket érintő kártevőkről

Hány kártevő létezik jelenleg, amely a Mac gépeket is veszélyezteti?

A Mac-specifikus kártevők a más platformra (nevezetesen Windowsra) készített kártevőkkel szemben jelenleg is elhanyagolható számúak. Ugyanakkor a Mac-es rendszerekre készített kártevők folyamatosan egyre nagyobb teret nyernek, amely nem csak azok számában mérhető. Napjainkban egy jól megírt kártevő már meglehetősen nagy kárt tud okozni egy védtelen Mac-es eszközön.

Szükséges-e antivírus szoftvert telepíteni a Mac-es számítógépemre?

Valójában egyik operációs rendszer sem tud 100%-os biztonságot nyújtani. Ha még létezne is ilyen rendszer, az olyan telepített szoftverek, mint a Java/Java Virtuális Gép ki lennének téve a kártevők támadásainak. Egy hatékony védelmi program több olyan védelmi réteget biztosít, amelyek segítségével minimálisra csökkenthető a Mac-es eszköz sebezhetősége.

Mióta léteznek Mac OS X-re fejlesztett kártevők?

Az első Mac OS X rendszert megfertőző OSX/Opener más néven Renepo vírus mintájának a feltűnése egészen 2004-ig nyúlik vissza. Ezt követte 2006-ban több más Mac OS X megfertőzéséhez fejlesztett kártevővel együtt az OSX/Leap.A is.

A Mac-es eszközök védtelenek a Windows operációs rendszerre írt kártevőkkel szemben?

A Windows-ra írt kártevők semmilyen veszélyt nem jelentenek a Mac-es eszközökre, noha betölthetik a vírushordozó szerepét. Ez annyit tesz, hogy egy Mac-es számítógéppel akaratlanul is átvihetünk fertőzött fájlokat más eszközökre.

Az eddig megjelent kártevők tényleges veszélyt jelentenek a Mac OS X-re?

Az elmúlt években az ESET Mac-es kártevőkkel foglalkozó víruslaboratóriuma több mint tíz Mac OS X platformra készített kártevő családot észlelt és azonosított. Az egyik ilyen kártevő a Flashback, amely több százezer Mac-es számítógépet fertőzött meg.

Próbálja ki ingyen!
 

30 napos próbaidőszak

Mac fertőzések az elmúlt évek során

  • 2004

    • Amphimix
      (MP3Concept)

    • Opener (Renepo)

  • 2005

  • 2006

    • Leap

    • Inqtana

  • 2007

    • Jahlav (RSPlug)

  • 2008

    • MacSweep

    • iMunizator

  • 2009

    • Tored

  • 2010

    • Hovdy

    • HellRTS (HellRaiser)

    • OpinionSpy

    • Boonana

  • 2011

    • BlackHole (darkComet, MusMinim)

    • MacDefender

    • Olyx

    • Flashback

    • Revir and Imuler

    • Devilrobber (Miner)

    • Tsunami (Kaiten)

  • 2012

    • Lamadai

    • Sabpab

    • Morcut (Crisis)

  • 2013

    • Kitm és Hackback

    • Yontoo

    • Minesteal, vagy más néven Minesweep

    • OSX/Fucobha (Icefog)

    • OSX/Pintsized

  • 2014

    • OSX/LaoShu

    • OSX/Appetite (vagy más néven Mask, Careto)

    • OSX/CoinThief

  • 2015

    • OSX/Agent.AE

    • OSX/OceanLotus

  • 2016

    • OSX/KeRanger

    • OSX/Keydnap

    • OSX/Eleanor

    • OSX/Komplex

Amphimix (MP3Concept)

Az első ismert OS X alapú kártevő, nem terjedt, csak víruslaborban találkoztak vele

Ez a kísérleti (PoC, Proof-of-Concept) trójai program 2004 elején látott napvilágot és MP3 zenei állománynak álcázta magát. Még az ikonja is a szokásos MP3 ikonjával volt azonos. Nagyon korán megjelent, ezért általában ezt tekintik az első ismert OS X alapú kártevőnek, amelyet szerencsére valós körülmények között (ITW, In The Wild) sosem észleltek, csak víruslaborban. A Finder program későbbi továbbfejlesztése szerencsére megakadályozta, hogy ezt a sebezhetőséget a támadók kihasználhassák.

Büntető rutinja egyetlen tevékenységre korlátozódott: megjelenített egy párbeszédpanelt, amelyben a "Yep this is an application. (So what is your iTunes playing right now?)" feliratot lehetett olvasni. Ez magyarul a következőt jelenti: "Igen, ez itt egy alkalmazás. (Nos mit is játszik most az iTunesod?)". Ezzel egyidőben elindította az iTunes programot, és megkísérelt egy olyan 4 másodperc hosszúságú "wild laughter" nevű MP3 zenei állományt lejátszatni, melyen egy férfi nevetése volt hallható.

Amphimix

Opener (Renepo)

Shell script alapú kártevő hátsóajtó és kémprogram tulajdonsággal

Ez egy bash programozási nyelvű shell script (a legtöbb Linux és Mac OS X rendszeren a bash az alapértelmezett rendszerhéj) volt. A kártevő telepítéséhez a megtámadott számítógépen adminisztrátori jogosultságra vagy fizikai hozzáférésre volt szükség, hogy a rendszerfelületeken az írási lehetőséget engedélyezzék, illetve hogy különféle segédprogramokat tudjanak futattni.

Úgy tervezték, hogy a Startup elemekhez hasonlóan ez is minden rendszerindításkor lefusson a rendszergazdai jogosultsággal együtt, és ehhez még a sudo parancsra sem volt szüksége. A sudo parancs teszi lehetővé egy közönséges felhasználó számára, hogy a magasabb rendszergazdai, úgynevezett root biztonsági jogosultságaival futtathasson programokat.)

A 2.3.8 verzió megjelenése óta rendszerint különféle hátsóajtó, illetve kémprogram tulajdonsággal is felruházzák, ezzel pedig egy sor személyes, például bejelentkezési vagy konfigurációs adatot képes ellopni, valamint jelszó-feltörési és egyéb titkosítást visszafejtő lehetőséggel is rendelkezik.

Készítője egy DimBulb nicknevű fórumtag, aki az ihletet állítólag az osxrk rootkit ötletéből merítette és 2004 szeptemberében jelentkezett először művével.

                                    ######################################################################## 
                                    # opener 2.3.5a - a startup script to turn on services and gather user info & hashes for Mac OS X
                                    ######################################################################## 
                                    # Originally written by DimBulb
                                    # Additional code: hard-mac, JawnDoh!, Dr_Springfield, g@pple
                                    # Additional ideas and advice: Zo, BSDOSX
                                    # This script runs in bash (as is noted by the very first line of this script)
                                    # To install this script you need admin access or
                                    # physical access (boot from a CD or firewire/usb, ignore permissions on the internal drive) or
                                    # write access to either /Library/StartupItems /System/Library/StartupItems or
                                    # write access to any existing StartupItem (which you can then replace with this script) or
                                    # write access to the rc, crontab, or periodic files (and have them run or install the script) or
                                    # you could trick someone who has an admin account into installing it.
                                    # It should go in /System/Library/StartupItems or /Library/StartupItems (when it is executed it
                                    # will move itself to /System/Library/StartupItems)
                                    # Since it is a StartupItem it will run as root - thus no "sudo" commands are needed. If you run
                                    # it as any other user most of the commands will generate errors! (You could sudo ./opener)
                                    # Save start time and date for performance testing
                                    

Leap

A legelső OS X alapú valódi féregprogram

A 2006-os esztendő elején tűnt fel, és azonnal nagy figyelmet kapott a médiában. Egy JPG típusú fájl grafikus ikonját használva próbálta leplezni azt, hogy valójában egy futtatható állományról van szó. Látszólag egy akkor a legújabbnak számító Leopard Mac OS X 10.5 képernyőkép volt, és az iChat azonnali üzenetküldő segítségével terjedt "latestpics.tgz" néven.

Sikeres terjedéséhez mindenképpen szüksége volt ahhoz, hogy maga a felhasználó rákattintson, a lemezen található további fájlokat pedig a Spotlight (beépített fejlett kereső-rendszer az OS X-ben) segítségével igyekezett megfertőzni.

Inqtana

Kísérleti (PoC, Proof-of-Concept) féregprogram, amely a Bluetooth sebezhetőségét használta ki

Ez egy kísérleti féregprogram volt, amely az OS X rendszereket vette célba. Java nyelven készítették, és az Apple Bluetooth rendszerben előforduló úgynevezett directory traversal (a kérés parancssorában az útvonalat kézzel átírva, kiegészítve jogosulatlanul is hozzáférhetünk a szülőkönyvtár tartalmához) sebezhetőséget használta ki. Az Apple aztán 2005-ben, illetve 2006-ban is adott ki hibajavításokat a sérülékenység befoltozására.

A kártevő a launchd beállításainak módosításával érte el azt, hogy kódja lefuthasson minden rendszerindításkor. Ezt hívják perzisztens programnak.

A terjedéséhez az OBEX Push kéréseket használta ki, ezzel volt képes további Bluetooth eszközöket megtámadni. Viszonylag kevés fertőzést okozott, a működéséhez használt program könyvtár verzióváltása miatt pedig gyakorlatilag 2006. február 24-e után meg is szűnt a terjedése.

Az Inqtana.D kártevő kifejezetten fejlettnek mondható, hiszen futásához nincsen szüksége semmilyen felhasználói beavatkozásra. Települése után hátsóajtót hoz létre a rendszerben, amellyel működése már nem korlátozódik pusztán a Bluetooth kapcsolatra, hanem a vezetékes vagy WiFi kapcsolatot is tudja használni.

Jahlav (RSPlug)

DNS Changer

A DNS Changer családhoz soroljuk az OSX/Jahlav, OSX/DNSchanger, OSX/Puper és OSX/RSPlug detektálási néven ismert kártevőket, de más vírusirtók további egyedi elnevezéseket is használnak. Az egyes antivirus gyártók nem túl egységesek abban, hogy ezeket a kórokozókat azonos szerzőtől származó, egyetlen családba tartozónak sorolják-e be. Ezeket a megkülönböztetéseket, elnevezésbeli konvenciókat nem is használják mindig következetesen.

Ez a csoport szorosan kapcsolódik ahhoz a Zlob elnevezésű kártevő családhoz, amely ehhez hasonlóan rosszindulatú tevékenységeket végez a Microsoft Windows platform alatt. Ez már nem egy kísérleti teszt-kártevő, hiszen széles körben fordult elő jelentős számú fertőzés. Túlnyomórészt .DMG (Disk iMaGe) kiterjesztésű telepítési csomagban fordult elő install.pkg nevű állományként.

A kártevőkészítők különféle bevált trükkökkel próbálták terjeszteni, így például hamis kodekcsomagként is találkozhattunk vele, hasonlóan a Windows alatti megtévesztésekhez. A kártevő igazi célja az volt, hogy a fertőzött gépen megváltoztassa a DNS beállításait. A Domain Name System (DNS), azaz a tartománynévrendszer teszi lehetővé azt, hogy az internetes erőforrások csoportjaihoz hozzárendelt nevek ne függjenek az erőforrások fizikai helyétől. A DNS egyszerűen fogalmazva az internet egyfajta telefonkönyve, amiből ki lehet keresni az emberek számára értelmezhető számítógép-állomásnevekhez tartozó IP-címeket. Például a www.example.com tartománynévhez a 192.0.32.10 (IPv4) cím tartozik.

A támadás réven észrevétlenül eltéríthetővé vált az internetes böngészés. Fertőzéskor egy preinstall nevű script futott le elsőként, végrehajtva a rendszerben a kártékony módosításokat. Egy sor további shell parancs végrehajtásával íródott ki aztán egy másik script, amit aztán le is futtatott. Bonyolultságáról árulkodik az is, hogy szerver oldali polimorfizmus segítségével hasonló funkcionalitású, de binárisan csekély mértékben különböző további új variánsokat volt képes létrehozni, ezzel próbálta meg a különböző behatolás jelző (IDS, Intrusion Detection System) és antivirusok szignatúra alapú felismerését kijátszani.

A script fájlokat az olvashatóság és elemzés megnehezítése érdekében olyan különféle eszközökkel zavarták össze (szaknyelven az ilyen változatlan futást produkáló, de zavaros kinézetű kódot hívják obfuscated-nek), mint például az uuencode, a sed, vagy a tail.

ESET leírás a víruslexikonban:

Kapcsolódó blogbejegyzés:

MacSweep

Az első OS X alapú hamis antivirus program

Többféle néven is ismert, például Troj/MacSwp-A, OSX_MACSWEEP, vagy MacSweeper. Ezt a fenyegetést először 2008 januárjában jelentették, és néha úgy is emlegetik, mint az első OS X alapú hamis antivirus programot. Ál vagy hamis antivirusnak nevezzük az olyan kéretlenül települő, vagy böngészés közben felbukkanó ablakban jelentkező programot, amely a felhasználót megijesztve nem létező kártevőkre, kitalált fertőzésekre figyelmeztet, ám a mentesítésre állítólag képes "teljes verzióért" már pénzt akar kérni.

Az ilyen pénzt zsaroló programok az elnevezésüket leszámítva általában egy kaptafára készülnek, kinézetük szinte teljesen egyforma. Például iMunizator néven is találkozhattunk az OSX/MacSweep kártevővel. A Windows alatti megtévesztésekhez hasonlóan Macintoshra is megjelentek már nem csak hamis vírusirtók, hanem hamis rendszeroptimalizáló, teljesítmény fokozó vagy rendszer karbantartó segédprogramok is. Ezek a "termékek" futtatásuk során nemcsak nem létező fertőzéseket jeleznek, hanem mindenféle hamis riasztást is produkálnak, találnak például a privát szférára veszélyes alkalmazást, hibás böngésző sütit (cookie), vagy veszélyes fájlokat is, ám ahhoz, hogy ezeket eltávolítsa, előbb meg kell venni a hamis „teljesverziós” MacSweep szoftvert.

Ha "normális" valódi vírusvédelmi program van a gépünkön, az azonnal képes megóvni minket az ilyen megpróbáltatásoktól. Itt különösen azok a felhasználók vannak a veszélyben, akik semmilyen, vagy nagyon elavult vírusirtót használnak.

iMunizator

Hamis antivirus program

Többféle néven is ismert, például SX/Imunisator, Troj/MacSwp-B, OSX_MACSWEEP.B, OSX/AngeloScan. Először 2008 márciusában jelentették, és az iMunizator lényegében egy átdolgozott OSX/MacSweep (MacSweeper) klón, egy "újabb hamis antivirus".

A szisztéma a szokásos: a képernyőn megjelenő üzenetek szerint: "Szabaduljon meg a veszélyes fájloktól most", vagy "3 az 1-ben: Internet tisztító, rendszer karbantartó segédprogram és teljesítmény optimalizáló Macintosh rendszerre".
Ezek a "termékek" futtatásuk során nemcsak hogy nem létező fertőzéseket jeleznek, hanem mindenféle hamis riasztást is produkálnak. Találnak például a privát szférára veszélyes alkalmazást, hibás böngésző sütit (cookie) vagy veszélyes fájlokat is, ám ahhoz, hogy ezeket eltávolítsa, előbb meg kellene venni a hamis „teljesverziós” iMunizator szoftvert.

Ironikus módon az iMunizator egyik hamis hibaüzenete szerint bizonyos alkalmazásokat azért javasol eltávolításra, mert azok "veszélyesek a bankkártyánkra".

iMunizator

Tored

Kísérleti (PoC, Proof-of-Concept) féregprogram, amely e-mail üzenetekkel terjed

Ezt a kísérleti kártevőt 2009-ben fedezték fel, és Mac/Tored.AA-nak nevezték el. Ez egy módosított elnevezés, amely az OSX.Raedbot kártevő bináris kódjában található szövegből ered. A féreg terjedéséhez saját SMTP (Simple Mail Transfer Protocol, azaz Egyszerű Levélátviteli Protokoll) motort használ.

A támadók egy irányító szerverről (C&C, Command & Control) távoli eléréssel tetszőleges parancsokat futtathatnak a fertőzött számítógépen. Ezzel tulajdonképpen a Windows világból ismert botnetes zombihálózatot valósítják meg OS X rendszer alatt, amelynek segítségével tömeges levélszemét (spam) észrevétlen kiküldését végezhetik az áldozatok gépéről. Eddig a víruselemző laborokon kívül nem találkoztunk a Mac/Tored.AA kártevővel.

Hovdy

Információgyűjtő kémprogram

Az OSX/Hovdy kártevő család egy sor olyan script, amely célja, hogy a lehető legtöbb információt gyűjtse össze az áldozat számítógépéről, és továbbküldje azokat egy lehetséges támadó számára.

Egyes változatok esetében ez az információküldés olyan e-mail formájában történik, melynek tárgysora "Hovdy" (magyarul körülbelül „Szevasz”), innen ered a kártevő elnevezése. Egyes variánsai bash nyelvű shell scriptben íródtak (a legtöbb Linux, valamint a Mac OS X rendszeren a bash az alapértelmezett rendszerhéj), míg más változatai AppleScript nyelven készültek. Az OSX/Hovdy script kártevőnek tucatnyi különböző változatát észlelték már.

HellRTS (HellRaiser)

Információ tolvaj program hátsóajtó és kémprogram tulajdonsággal

Ez egy hátsóajtó tulajdonsággal rendelkező trójai, amelynek segítségével a megfertőzött számítógép távvezérelhető. A kikémlelt és összegyűjtött információkat - ezek fájlok, valamint a monitor tartalmáról készített képernyőképek - különféle szabványos protokollok (HTTP, FTP, és SMTP, vagyis böngésző adatok, TCP/IP állományátvitel és elektronikus levélküldés) segítségével küldi el a távoli támadó részére. Az összegyűjtött adatokat a trójai továbbítja egy távoli számítógépre.

A kártevő a bizalmas adatok megszerzésének érdekében egy igazinak látszó bejelentkezési ablakot is megjelenít, amelyen a felhasználó nevét és jelszavát kéri be.

iMunizator

A kártevő az alábbi tevékenységeket képes távolról végrehajtani:

  • tetszőleges fájl végrehajtása
  • shell parancsutasítás végrehajtása
  • a számítógép kikapcsolása, illetve újraindítása
  • az aktuális felhasználó kiléptetése a rendszerből
  • adatok küldése a nyomtatónak
  • megadott URL webcím megnyitása
  • a hangerő mértékének megváltoztatása
  • a CD/DVD meghajtó kinyitása
  • hang- illetve videoállomány lejátszása
  • weboldal megnyitása az alapértelmezett böngészővel
  • a felhasználó pillanatnyi képernyőképének megtekintése

ESET leírás a víruslexikonban:

OpinionSpy

Kémprogram hátsóajtóval és rejtett távoli vezérlési lehetőséggel

Ezt a programot először 2010 június elején észlelték, elnevezése pedig a kártevőben talált PermissionResearch, illetve PremierOpinion szavakból ered.

A trójai kémprogram piackutatást végző segédprogramnak álcázza magát, a telepítési folyamat során képernyővédőt is felajánl. A képernyőkímélő funkció mellett azonban, mint kémprogram is működik, és ehhez hátsóajtót telepít a megtámadott számítógépre, amelynek segítségével a gép távolról is irányítható lesz.

OpinionSpy

ESET leírás a víruslexikonban:

Kapcsolódó blogbejegyzés:

Boonana

Multi-platform megtévesztés alapú (social engineering) trójai

Ez egy olyan Java-alapú trójai program, amely egyaránt támadja a Mac, Linux és Windows rendszereket. 2010 októberében vált híressé, amikor már közösségi oldalakon is felbukkant, és azzal a megtévesztéssel igyekezett kattintásra ösztönözni a kíváncsi felhasználókat, hogy látszólag egy olyan videóállományt jelenített meg, melyen a következő üzenet jelent meg: "Csak nem te szerepelsz ezen a videón?". Úgy tűnik, a kártevőterjesztők számos ötletet a Windows platformon már korábban megjelent, sikeres átverési módszerekből merítettek.

A kártevő egy olyan trójai letöltő (egy Java applet), amely telepítéskor úgy módosítja a rendszerfájlokat, hogy a külső támadó jelszó megadása nélkül is hozzáférhessen a rendszerhez. Ezen felül ez a trójai rendszeres időközönként parancsokat keresve kapcsolatba lép a támadók távoli irányító szerverével (C&C, Command & Control). Egyes jelentések szerint a kártevő e-mail üzenetben is képes önmagát továbbküldeni.

Ha a gyanútlan áldozat lefuttatja az állítólagos YouTube videót, egy hamis hibaüzenet jelenik meg, miszerint a videó egy extra kiegészítő telepítése után tekinthető csak meg.

Boonana

Ha a trükk beválik, a Java applet egyaránt fut Windows, OS X valamint Linux rendszeren. Windows alatt egy Registry bejegyzést is készít, míg Macintosh esetében fájlokat másol a /Library/StartupItems mappába és egy "OSX updates" nevű scriptet is létrehoz.
Ez a metódus inkább egy social engineering alapú átverés, hiszen a kezdeti támadásnál minden azon múlik, hogy a megtévesztett felhasználó kattint-e, vagyis ez a trójai teljesen platformfüggetlenül működik. Magyarán a kártevő magától nem képes elindulni, a telepítés mindenképpen megköveteli a felhasználó beleegyezését (= a kattintást a posztra), illetve aktív közreműködését.

Bár a trójai által végrehajtandó tevékenységek nem hasonlítanak, és a kódja sem hasonlít a Koobface kártevőhöz, egyes vírusvédelmi gyártók mégis az ESET víruslaborral ellentétben ezen a néven detektálják.

Boonana

Kapcsolódó blogbejegyzés:

BlackHole (darkComet, MusMinim)

Többfunkciós hátsóajtót létrehozó trójai program

Ez a távoli elérést biztosító (Remote Access Tool, RAT) program 2011 elején bukkant fel. Maga a szerző jelölte béta verziósnak a szoftvert: "Welcome to BlackHole RAT. Now this is the Beta Version, and there are funktions. Have Fun;)", magyarul: „Üdvözöl a BlackHole RAT. Ez még csak egy béta verzió, de vannak működő funkciói. Érezd jól magad;)”.

Bár a felhasználói felület tartalmaz néhány német kifejezést is, mint például "Ablage" és "Bearbeiten", a program üzenetek zöme angol nyelvű.

BlackHole

“Én egy trójai program vagyok, és megfertőztem a Mac számítógépedet. Tudom, a legtöbb ember úgy gondolja, hogy egy Macintosh nem lehet fertőzött, de nézd csak, TE mégis az vagy!”

BlackHole

A kódban szereplő megjegyzések szerint a szerző szándékában áll a későbbiekben elkészíteni egy stabilabb verziót: "Én egy vadonatúj vírus vagyok, és még fejlesztés alatt állok. A befejezésem után még több funkció lesz elérhető."

Ettől eltérően viszont 2012 júniusában befejezettnek nyilvánították a darkComet RAT projektet.

A kártevő az alábbi tevékenységeket képes távolról végrehajtani:

  • shell parancsutasítás végrehajtása
  • a felhasználó böngészőjének eltérítése tetszőleges helyre
  • szövegfájl létrehozása a felhasználói munkaasztalon
  • a számítógép leállítása, újraindítása, illetve készenléti módba helyezése. Sőt arra is van lehetőség, hogy a felhasználó képernyőjén megjelenjen egy gépe újraindítását jelző üzenet ablak, valószínűleg demonstrációs célzattal.
  • hamis felugró Finder üzenetablak megjelenítése, melyben a felhasználótól a rendszergazdai belépéshez tartozó jelszót kéri be

Hasonló neve ellenére nincs semmilyen egyértelmű kapcsolata a Black Hole exploit kit-tel.

ESET leírás a víruslexikonban:

MacDefender

Az első jelentős Mac kártevő

Ezt a hamis antivirus programot már több különböző néven is észlelték, például MacProtector, MacDetector, MacSecurity, Apple Security Center, MacGuard, vagy MacShield. 2011 májusában jelent meg és valószínűleg mind a mai napig ez a leginkább elterjedt Mac alatt futó ál-antivirus.

A kártevő képkereséskor kapott megfertőzött keresőtalálatok segítségével terjed. Ha a kártékony linkre kattintanak, a felhasználó képernyőjén megjelenik egy figyelmeztető üzenet, miszerint trójai vagy egyéb fenyegetést észlelt a rendszer.

MacDefender

A támadás elején egy egyszerű párbeszédpanelt jelenít meg a böngésző ablak felett, vagy pedig egy hamis Finder ablakot jelenít meg. A kártevőt azóta már frissítették, és a megjelenő ablak már sokkal kevésbé hasonlít egy Windows programra, sikerült a natív OS X alkalmazások kinézetét még jobban leutánozni.

Későbbi változatai szintén hamis Finder ablak megjelenítésével rendszergazdai jogosultságokkal települtek, ha a figyelmetlen felhasználó begépelte az adminisztrátori jelszavát. Ha az áldozat a "Cancel" vagy a "Remove All" gombok valamelyikére kattintott a böngészőablak szabályos bezárása (szükség esetén erőltetett kilépéssel "Force Quit") helyett, akkor a kártékony program sikeresen feltelepült. Emellett a kártevő sikeresen kihasználta a Safari böngészőnek azt az alapértelmezett beállítását is, amelynek segítségével a biztonságosnak vélt fájlok letöltés után azonnal végrehajtódhatnak (‘Open “safe” files after downloading’).

MacDefender

Miután a kártevő feltelepült és lefutott, közölte a felhasználóval, hogy ez csak a szoftver regisztrálatlan változata, és felkínálta a fizetős regisztráció lehetőségét.

MacDefender

Kapcsolódó blogbejegyzés:

Olyx

Kártékony kódokat letöltő, hátsóajtót létrehozó program

Ez a program hátsóajtót hoz létre, amelyen keresztül a támadók egy irányító szerverről (C&C, Command & Control) távolról tetszőleges parancsokat futtathatnak a fertőzött számítógépen. Ezzel tulajdonképpen a Windows világából ismert botnetes zombihálózatot valósítják meg OS X rendszer alatt.

Ahhoz, hogy a kártevő az áldozat rendszeréhez hozzáférhessen, egy ismert Java sebezhetőséget használ ki. A trójai tartalmaz egy megadott IP-címet, amelyhez megpróbál csatlakozni a böngészésnél használt 80-as TCP porton keresztül.

Olyx

A kártevő az alábbi tevékenységeket képes végrehajtani:

  • egy távoli számítógépről és/vagy az Internetről tetszőleges fájlok letöltése
  • fájlok küldése egy távoli számítógépre
  • különféle fájlrendszerrel kapcsolatos műveletek végrehajtása
  • shell parancsutasítás végrehajtása
  • megadott meghajtón található állományok listájának küldése egy távoli számítógépre

ESET leírás a víruslexikonban:

Flashback

Az eddig ismert legnagyobb Macintosh alapú botnet

Az OSX/Flashback.A egy olyan trójai, amely az internetről próbál meg további kártékony kódokat letölteni. Egyúttal pedig sikerült létrehoznia a mai napig ismert legnagyobb Mac-es zombigépekből álló botnet hálózatot. A Flashback támadás a megtévesztést (social engineering) használta ki annak érdekében, hogy a felhasználót rávegye a kártevő letöltésére és telepítésére.

A kártevőnek egy szabványosnak látszó professzionális telepítő képernyője van, és célja, hogy hátsóajtót nyisson a megtámadott számítógépen a Preferences.dylib dinamikus programkönyvtár segítségével. Települése után RC4 titkosítást használ a távoli vezérlőszerverrel folytatott kommunikációjához, és oda továbbítja titokban a számítógépről megszerzett olyan adatokat, mint például a felhasználó MAC címe, az adott operációs rendszer verziószáma, az UUID (UUID, Universally Unique Identification, magyarul univerzálisan egyedi azonosító) értéke, és hasonló bizalmas információkat. A kártevő ezen felül azt is lehetővé teszi, hogy a program készítője kártékony kódot injektálhasson a megtámadott Mac gépbe. A fertőzött számítógép képes utasítások fogadására is a távoli vezérlő szerverről a HTTP-n keresztül. Ha a Little Snitch nevű tűzfal alkalmazás jelenlétét észleli az adott rendszerben, úgy azonnal kilép és el is távolítja magát a gépről. Az ESET azt javasolja a felhasználóknak, hogy lehetőség szerint, amikor éppen nem használják, kapcsolják ki a Java modult a Safari böngészőben.

Az OSX/Flashback egyik későbbi változata már a CVE-2012-0507 sebezhetőség kihasználására alkalmas exploit kódot is tartalmazta, ez a Java sérülékenység egyébként a Blackhole exploit kitben is szerepel. Ez tulajdonképpen azt jelenti, hogy a trójai mindenfajta felhasználói közreműködés nélkül tudja megfertőzni a számítógépet. A probléma miatt előbb az Oracle adott ki Java frissítést, majd később az Apple is kibocsátotta a hibajavításhoz szükséges biztonsági foltot.

A trójai az alábbi képet jeleníti meg:

Flashback

2012 szeptemberében az ESET egy részletes technikai elemzést adott ki a Flashback fenyegetésről.

ESET leírás a víruslexikonban:

Kapcsolódó blogbejegyzés:

Revir and Imuler

Kártékony kódokat létrehozó/letöltő, hátsóajtót létrehozó programok kémprogram tulajdonsággal

Ezt a két kártevőt általában különböző fenyegetésnek azonosítják, bár összedolgozva a Revir dobja ki magából és tölti le a kártékony kódot, míg az Imuler.A hordozza a hátsóajtó tulajdonságot.

A rosszindulatú program úgy jelenik meg, mint egy PDF (Portable Document Format) fájl és valóban meg is jelenít egy ilyen dokumentumot. Ebben kínai nyelven néhány politikával kapcsolatos mondat szerepel, ám a szöveg megjelenítése közben a kártékony kód lefut, és kibontja magából a letöltést végző programmodult, amely aztán a hátsóajtót nyitó Imuler trójait letölti és telepíti a számítógépre. A hátsóajtón keresztül a támadók egy irányító szerverről (C&C, Command & Control) távolról tetszőleges parancsokat futtathatnak a fertőzött számítógépen.

A legszembetűnőbb hasonlóság e módszer és az ilyen típusú Windows kártevők ténykedése között a több lépésben végrehajtott kifinomult fertőzési technika, amelyben számos fájl komponens vesz részt. Maga a PDF állomány ugyanis nem tartalmaz semmilyen veszélyes 0. napi fenyegetést, mint azt számos más esetben lehet tapasztalni. Ehelyett egész egyszerűen a PDF része a kártevőnek, amely lefutása után meg is jeleníti a dokumentumot. Az Imuler trójai pedig parancsokat keresve kapcsolatba lép a támadók távoli irányító szerverével (C&C, Command & Control), ennek meghatározott URL címét is a kártevő belsejéből veszi, illetve egyes esetekben a pontos címet valamilyen internetes forrásból olvassa ki.

A kártevő az alábbi tevékenységeket képes végrehajtani:

  • képernyőkép készítése
  • tetszőleges fájl elküldése a távoli számítógépre
  • a fertőzött számítógépről kiolvasott különféle rendszer információk elküldése
  • állományok letöltése a távoli számítógépről és/vagy az Internetről
  • tetszőleges fájl végrehajtása
  • ZIP tömörített archívum kibontása

ESET leírás a víruslexikonban:

Kapcsolódó blogbejegyzés:

Devilrobber (Miner)

Bitcoin-generáló kémprogram, amely Torrentet használ a terjedéséhez

A program egy létező és közismert képszerkesztő, a GraphicConverter alkalmazás másolatába rejtve terjed. Azonban az eredeti programmal ellentétben a módosított csomag már fertőzött, ez leggyakrabban valamilyen Torrent oldalról, például a Piratebay-ről letöltve került a felhasználókhoz. Mint számos más Mac alapú trójai, ha a Little Snitch nevű tűzfal alkalmazás jelenlétét észleli az adott rendszerben, úgy azonnal megszakítja a fertőzési folyamatot és kilép. Ha nem találja a tűzfalat, akkor viszont a kártevő minden egyes rendszerindításkor le fog futni.

A kártevő az alábbi tevékenységeket képes végrehajtani:

  • különböző portokat nyit meg és ezeken „hallgatózva” várja a távoli irányító szerver (C&C, Command & Control) utasításait
  • titokban felhasználja a grafikai processzor (GPU, Graphics Processing Unit) ciklusait, és ezekkel Bitcoin digitális pénzt generál a Bitcoin szolgáltatás illegális igénybevételével, ha pedig a fertőzött gépen ilyen digitális pénzt tartalmazó Bitcoin wallet pénztárcát talál, ellopja annak tartalmát
  • kémprogramként működik, felhasználó neveket és jelszavakat továbbít a távoli irányító szerverre
  • további bizalmas adatok után fürkészve a tárolt jelszavakat tartalmazó keychain fájlt, a bash héjprogram előzményeit tartalmazó naplóállományt, valamint a Safari böngésző előzményeit tartalmazó naplóállományt megkeresve továbbküldi ezeket a távoli irányító szerverre
  • titokban képernyőképeket készít, és azokat továbbítja a távoli irányító szerverre
  • gyermekpornóval kapcsolatos anyagokat kereshet a számítógépen

ESET leírás a víruslexikonban:

Tsunami (Kaiten)

IRC vezérlésű hátsóajtót létrehozó program

Ez egy IRC (Internet Relay Chat) vezérlésű hátsóajtó program, amely a megfertőzött számítógépeket botnet hálózatba kapcsolja, majd azokat elosztott szolgáltatásmegtagadással járó támadások (Distributed Denial of Service, DDoS) végrehajtásához használja fel. Egy kódolt listában tartalmazza azokat az IRC szervereket és csatornákat, amelyekhez titokban megkísérel csatlakozni.

Ez a kártevő egy változata a korábbról ismert Linux/Tsunami programnak (más néven Kaiten), melyet Mach-O típusú programként (ez az OS X operációs rendszer bináris formátuma) fordítottak újra. Kockázati szempontból alacsony a veszélyt jelentő befolyása, befejezetlennek is tűnik, bár a második verzió már mutat némi fejlődést.

2002-től kezdődően, ha ez a linuxos hátsóajtót létrehozó trójai egyszer már felkerült a számítógépre, úgy folyamatosan figyelte a támadók IRC alapú utasításait. Ezek a parancsok elsősorban az elosztott szolgáltatásmegtagadással járó támadások (Distributed Denial of Service, DDoS) végrehajtásához kapcsolódnak, de emellett alkalmasak további egyéb típusú támadásra is, mivel távolról tetszőleges fájl futtatására van lehetőség. Az elfogadott parancsok listája a Linuxos C forráskód kommentsoraiban található.

Tsunami

Amellett, hogy lehetővé teszi DDoS támadások végrehajtását, a hátsóajtó engedélyezi még azt is, hogy távolról fájlokat tölthessenek le, illetve fel a fertőzött számítógépre, így más kártevők futtatására, de akár az OSX/Tsunami kód rendszeres frissítésére is módjuk nyílik. A kártevő képes shell parancsutasítások végrehajtására is, ezzel gyakorlatilag korlátlan távoli irányítást tesz lehetővé az érintett gép felett.

ESET leírás a víruslexikonban:

Kapcsolódó blogbejegyzés:

Lamadai

Hátsóajtót létrehozó program, amely tibeti szervezeteket támadt

Ez a kártevő célzottan tibeti civil szervezetek (NGO, Non-Governmental Organizations) ellen irányult. Ehhez megtévesztéssel egy olyan rosszindulatú weboldalra kellett csalni a felhasználót, amelyen a CVE-2011-3544 Java sebezhetőséget kihasználó exploit kód szerepelt, így a kártékony kód észrevétlenül azonnal le tudott futni.

A webszerver egy olyan platform specifikus JAR (Java Archive) állományt töltött le a látogatók gépére, amely a böngésző UserAgent mezőjéből kiolvasott karakterlánc értéke alapján lehetett Windows vagy OS X alapú.

Az OSX/Lamadai.A rendelkezett a hátsóajtót létrehozó programokra jellemző tulajdonságokkal: a támadók egy irányító szerverről (C&C, Command & Control) távolról tetszőleges programokat futtathatnak a fertőzött számítógépen, valamint képesek létrehozni egy parancssori shell-t is. A multi-platformos kártevő a (CVE-2011-3544) számú Java sebezhetőséget kiaknázó rés segítségével támadta meg az áldozatok számítógépét, fertőzés esetén pedig böngésző adatokat lopott és továbbított észrevétlenül a készítőinek.

Bár az OS X-re készített dropper (olyan fájl, amely további kártékony állományokat bocsát ki magából) képes lefutni Linux rendszerű számítógépen is, maga a büntető rutin specifikusan OS X alapú, ezért csak és kizárólag Macintosh gépeket tud megfertőzni.

Az OS X operációs rendszer bináris fájlformátuma a Mach-O típusú futtatható program. Az OSX/Lamadai.A program érdekes módon csak 64 bites, pedig technikailag lett volna lehetőség mind a 32, mind pedig a 64 bites változat egyidejű fordítására is, hiszen normál esetben az OS X alatti futtatható programok ilyenek.

ESET leírás a víruslexikonban:

Kapcsolódó blogbejegyzés:

Sabpab

Hátsóajtót létrehozó trójai program rejtett távoli vezérlési lehetőséggel

Ez a trójai hátsóajtóként szolgál, távolról vezérelve átvehető a fertőzött gép feletti teljes irányítás, ezáltal adatok szerezhetőek meg róla, illetve a gépen egy távoli vezérlő szerverről vagy az internetről érkező parancsokat lehet végrehajtatni. A HTTP kapcsolathoz szükséges URL linket magában a kártevő kódjába írva hordozza. Ez a trójai a rendkívül széles körben elterjedt Flashback egy variánsa, működéséhez pedig a CVE-2012-0507 számú biztonsági rést használja ki.

A kártevő az alábbi tevékenységeket képes végrehajtani:

  • megadott meghajtón található állományok listájának küldése egy távoli számítógépre
  • egy távoli számítógépről és/vagy az Internetről tetszőleges fájlok letöltése
  • tetszőleges fájl elküldése a távoli számítógépre
  • tetszőleges fájl futtatása
  • titokban képernyőképeket készít, és azokat továbbítja a távoli irányító szerverre

Úgy tűnik, hogy a kártévő eredetileg 2012. március 16-án vagy ennél valamivel korábban készülhetett. Jelentések szerint kapcsolat lehet a SabPab (vagy SabPub, a különféle antivirusgyártók elnevezései jelentősen eltérőek) és Luckycat néven ismert nagyvállalatok, illetve megavállalatok ellen végrehajtott célzott APT (Advanced Persistent Threat, magyarul Fejlett Perzisztens Fenyegetés) támadások között.

Egyes támadások feltételezhetően tibeti szervezetek ellen irányulhattak. A későbbiekben a Microsoft Office szoftverben található CVE-2009-0563 puffer túlcsordulási hibát kihasználva terjedt Word dokumentumokban is. A kártevő legújabb verziójában azonban már nem alkalmazta ezt a népszerű CVE-2012-0507 sebezhetőséget kihasználó Java exploit kódot, emiatt az Apple frissítései nem nyújtanak védelmet erre a korai Office sérülékenységre.

ESET leírás a víruslexikonban:

Morcut (Crisis)

Multi-platform trójai kémprogram

A Morcut egy speciális OS X trójai, amely Snow Leopard és Lion rendszerekhez készült (egyes beszámolók szerint Leopard alatt fut ugyan, de hajlamos az összeomlásra). Érdekessége, hogy úgy képes feltelepülni, hogy nem igényel felhasználói beavatkozást, perzisztens vagyis túléli a rendszer újraindítást, és rootkit tulajdonságokkal is rendelkezhet, ha a megfertőzött számítógépen adminisztrátori (root) jogosultságokat tud szerezni.

Eddig csak laboratóriumi körülmények között észlelték, és bár az első minták a VirusTotal rendszerből származnak, szerencsére a külvilágban (In the Wild) nem találkozhattunk vele. A kártékony JAR fájl tartalmaz egy olyan megtévesztő nevű WebEnhancer Java osztályt, amely ellenőrzi az adott gépen, hogy a Java Virtual Machine (JVM) Windows vagy OS X platformon fut-e. Az eredmény alapján Windows gépeken a Swizzor trójai egy variánsát telepíti, míg OS X esetén pedig az OSX/Crisis kártevőt.

A Crisis valójában nem az első, vagy egyetlen kísérlet hardware független fertőzés megvalósítására, de ennek ellenére nem szabad alábecsülni, mert az egész próbálkozás technikai megvalósítása - az, hogy megfelelő tartományokban kémkedhessen - mindenképpen figyelemreméltó. A fertőzött számítógépről számtalan bizalmas személyes adatot kísérel meg ellopni, ilyen az azonnali üzenetküldő (IM, Instant Messaging) szolgáltatással folytatott csevegéseink, címjegyzékünk, földrajzi helyzetünk, a billentyűzet leütések naplója, egérmozgások követése, a vágólap(Clipboard) tartalma, a futó folyamatok listája, és egyéb kiolvasható környezeti információk.

Kapcsolódó blogbejegyzés:

Kitm és Hackback

Ezek a kártevő családok az úgynevezett "Operation Hangover" támadás keretében végeztek kémkedést aktivisták számítógépein az Oslóban megrendezett Freedom Fórumon.

Az OSX/Kitm egy olyan hátsó ajtót nyitó trójai alkalmazás (backdoor), amely képes kémkedni az áldozat után, illetve ezen felül még azt is lehetővé teszi, hogy a támadó tetszőleges programokat futtathasson a fertőzött számítógépen. A trójai ezenkívül képernyőképeket is tud készíteni, és ezeket szintén továbbítja egy távoli szerverre.

Annak érdekében, hogy minden egyes rendszerindításkor a kártevő is lefusson, módosítja a Users/%username%/Library/Preferences/com.apple.loginitems.plist állományt.

Az OSX/Hackback trójai nagyon hasonló tulajdonságokkal rendelkezik, mint a korábban említett OSX/Kitm, valószínűleg ugyanaz a vírusíró készíthette mind a kettőt. Mindkét kártevő célzottan az Oslói Freedom Fórum politikai aktivistái ellen irányult, őket támadta a már említett "Operation Hangover" akció keretében.

ESET leírás a víruslexikonban:

Kapcsolódó blogbejegyzés:

Yontoo

Ez egy kétes megítélésű böngésző kiegészítő (plug-in), amely kéretlen hirdetéseket jelenít meg, illetve a weboldalak átirányításával manipulálja is a böngészési folyamatot.

Az ESET programjai úgynevezett kéretlen alkalmazásként (PUA, Potentially Unwanted Application) kezelik, amely mind Windows, mind pedig OS X környezetben megtalálható. OS X alatt az alábbi böngésző kliensek kiegészítőjeként (plug-in) vagy kiterjesztéseként (extension) találkozhatunk vele: Safari, Chrome illetve Firefox.

A böngésző kiegészítő elsődleges célja, hogy kéretlen reklámokat jelenítsen meg. Tipikus trójai program, hiszen az alap tulajdonságai mellett rejtett funkcionalitással is rendelkezik, így kiegészíti, manipulálja a képernyőn megjelenő tartalmakat, és emellett még a keresési találatokat is titokban módosítja, átirányítja.

Hasonlóan a többi úgynevezett grayware-hez, azaz kétes besorolású gyanús programhoz, a Yontoo is látszólag egy legitim cég terméke, ahol roppant nehéz megítélni a hasznosságát, illetve bebizonyítani a szoftver egyértelmű kártékonyságát.

Az Apple mindenesetre kiadott egy olyan biztonsági frissítést, amely megvéd a Yontoo böngésző kiegészítő ellen, és azt "OSX.AdPlugin.i" néven detektálja, illetve blokkolja.

ESET leírás a víruslexikonban:

Kapcsolódó blogbejegyzés:

Minesteal, vagy más néven Minesweep

Ez egy cross-platform, azaz különféle operációs rendszerek alatt is működőképes trójai, amelyet Java nyelven készítettek, és az online játékosokat támadják vele.

Hasonlóan a Microsoft Windows alatt ismert és hírhedt Win32/PSW.OnlineGames kártevő családhoz, a Java/Spy.Minesteal is az online játékosok számára jelent célzott fenyegetést.
http://www.virusradar.com/en/Win32_PSW.OnLineGames/detail

A trójai ellopja a Minecraft játékhoz tartozó bejelentkezési hitelesítő adatokat. A kártevő magát egy úgynevezett "Minecraft Hack Kit" eszköznek álcázza, amely látszólag újabb játékon belüli kiegészítő lehetőségeket kínál a játékosoknak. A Java-ban írt és cross-platform trójaival mind Windows, mind pedig OS X környezetben találkozhatunk.

ESET leírás a víruslexikonban:

OSX/Fucobha (Icefog)

Ezt a kártevőt ázsiai vállalatok és kormányok elleni kémkedés céljából vetették be, működése során hátsó ajtót nyitott a megtámadott rendszerekben.

Ezt az OS X kártevőt több esetben is észlelték, amint célzottan kelet-ázsiai áldozatok ellen használták fel. A leleplezett támadási akciókban a Macintosh kártevők mellett egyúttal Windows rendszerekre készült trójaiakat is bevetettek. A tapasztalatok szerint testre szabottan, konkrét kiválasztott áldozatok ellen irányultak a Fucobha program kifinomult támadásai. Arra tervezték, hogy segítségével érzékeny információkat lehessen ellopni úgy, hogy közben szinte semmilyen árulkodó nyom se maradjon a fertőzött rendszereken.

OSX/Fucobha

A kártevő olyan legitimnek látszó OS X alkalmazások, segédprogramok trójaival újracsomagolt változataiban terjed, mint például az Img2icns, az AppDelete vagy a CleanMyMac. Fertőzés esetén pedig a backdoor komponens telepítésre kerül a célszámítógépen. Az OSX/Fucobha trójait elsősorban Kínában észlelték, de az ESET LiveGrid rendszere ezenkívül más további országokból is regisztrált már fertőzéseket.

A kártevő az alábbi kémkedésre alkalmas képességekkel rendelkezik:

  • eltéríti az elektronikus levelezés postafiók adatait, megszerezve ezzel a vállalati hálózatból a különféle belépési adatokat és jelszavakat
  • tetszőleges dokumentumokat képes elküldeni a fertőzött gépről a támadók C&C vezérlő szerverére
  • összegyűjti a fertőzött gépről az összes személyes, illetve rendszer információt
  • távolról tetszőleges parancs, illetve adatbázis lekérdezés futtatható a fertőzött gépen
  • távolról tetszőleges fájlok tölthetőek le a támadók C&C vezérlő szerveréről a megfertőzött helyi gépre, és ezeket le is tudják futtatni a kompromittált rendszeren
     

OSX/Pintsized

Perl scripteket és natív Mach-O binárist használó backdoor.

Ez a backdoor program két részből tevődik össze: Perl szkripteket tartalmazó .plist típusú fájlokból és az OS X operációs rendszer bináris Mach-O szerkezetű bináris állományból.

Fertőzés után a kártevő egy távoli elérést biztosító úgynevezett reverse shellt nyit a megtámadott gépen, ezáltal a támadók teljes mértékben átvehetik az uralmat felette.

OSX/Pintsized

Az OSX/Pintsized az OpenSSH ("cupsd") egy módosított változatát használja, amely egy beágyazott RSA kulcs segítségével titkosítja a C&C szerverrel folytatott hálózati kommunikációt.

A fertőzött rendszerben a módosított OpenSSH az alábbi mappában található:
“/Users/[USER NAME]/.cups/cupsd“.

OSX/LaoShu

A trójait elsősorban csomagküldési értesítésről szóló hamis e-mail üzenetekben terjesztik.

Az OSX/LaoShu trójai olyan levelekkel terjed, amelyben a FedEx nevében arról értesítenek bennünket, hogy sikertelen volt a küldeményünk kézbesítése. A felhasználót arra kéri a levél, hogy kattintson egy legitimnek látszó linkre. Ez látszólag a FedEx csomagküldő webhelyére mutat és egy PDF állományt tartalmaz, ám a valóságban a hivatkozás a kattintás után a támadók szerverére irányítja át a gyanútlan áldozatot.

Bár a letöltött állomány valójában egy futtatható alkalmazás, kinézetre viszont egy PDF dokumentumoknál használatos ikon látszik, ezzel vezeti félre a felhasználókat. Rákattintás után persze az OS X már ad egy üzenet ablakot arról, miszerint ez tényleg egy alkalmazás, ám mivel a kártevő rendelkezik szabályos digitális aláírással is, ezzel sikeresen meg tudja kerülni a 10.8-as verziótól kezdődően bevezetett Gatekeeper Execution Prevention védelmi technológiát.

Az OSX/LaoShu trójai lefuttatása után különféle kártékony tevékenységeket végez:

  • kapcsolatba lép a távoli C&C (Command and Control) vezérlő szerverrel, onnan további kártékony kódokat, illetve utasításokat tölt le, majd végre is hajtja azokat a fertőzött gépen
  • kifürkészett és összegyűjtött személyes adatainkat továbbítja a támadók vezérlő szerverére
  • távolról gyakorlatilag tetszőleges kód, illetve parancs futtatható a fertőzött gépen

OSX/Appetite (vagy más néven Mask, Careto)

Ezt az alkalmazást arra fejlesztették ki, hogy kémkedjen a különféle célcsoportok számítógépén.

A jelentések szerint az OSX/Appetite kártevő segítségével számos állami, diplomáciai, illetve vállalati szektorbeli szereplő ellen intéztek célzott támadást.

A kifinomult fenyegetés nem csak az OS X, hanem Windows platformon is képes kárt okozni, beépített rootkit illetve bootkit funkció révén pedig sikeresen rejti el magát a felhasználók, és a védelmi programok elől.

Futása során kapcsolatba lép a távoli C&C (Command and Control) vezérlő szerverrel, és onnan további utasításokra vár.

Az OSX/Appetite lefuttatása után különféle kártékony tevékenységeket végez:

  • távolról tetszőleges parancs futtatható a fertőzött gépen
  • távolról gyakorlatilag tetszőleges programkód futtatható a fertőzött gépen

OSX/CoinThief

A kártevő elsődleges célja, hogy Bitcoint (digitális valuta) lopjon az áldozatoktól.

Ehhez egy kódfelülírásra alkalmas úgynevezett patcher modult, valamint egy rosszindulatú böngésző kiegészítőt használ fel, de ezen felül még hátsóajtót (backdoor) is telepít, melynek segítségével távolról átvehető az irányítás a fertőzött számítógép felett.

A trójai különböző módszerek segítségével terjed. Egyrészt a forrás megtalálható a GitHub oldalán, bár ennek a lefordított bináris kódja nem egyezik meg a kártevő kódjával. Emellett különféle, sokak által megbízhatónak tartott letöltési oldalon is felbukkant - például a CNET's Download.com vagy a MacUpdate.com webhelyén - de ezenkívül feltört alkalmazások különféle torrentes letöltéseiben is azonosították. Számos valódi alkalmazást megfertőztek és újracsomagolták belerejtve az OSX/CoinThief kártevőt, többek közt például a Bitcoin Ticker TTM (To The Moon), BitVanity, StealthBit, Litecoin Ticker, BBEdit, Pixelmator, Angry Birds és a Delicious Library programokból is létezik ilyen manipulált, rosszindulatú kódot is tartalmazó letöltési csomag.

A foltozó (patcher) modulnak az a szerepe, hogy megkeresse és módosítsa az eredeti Bitcoin-Qt pénztárca alkalmazás kódját. A vizsgált malware minták a Bitcoin-Qt 0.8.1, 0.8.0 és 0.8.5 változatait támadták, de volt olyan korábbi patch is, amely képes volt arra, hogy az áldozat összes Bitcoinját a támadó által megadott és a kódban titkosítva eltárolt címekre továbbítsa. A kártékony művelet tartalmazott egy értékhatár figyelést is, így az csak akkor lépett akcióba, ha legalább 2 BTC volt az adott számlán.

A böngésző bővítmény modul magát "pop-up blokkoló"-nak álcázva Chrome és a Firefox klienseket veszi célba. Feltelepítve a kiegészítő kártékony webhelyekről rosszindulatú JavaScript kódokat tölt le, melyeket később különféle Bitcoin fizetéssel és online pénztárca használattal kapcsolatos weboldalak látogatásakor futtat le. A beinjektált JS kód segítségével a kártevő képes módosítani az éppen folyamatban lévő tranzakciók tartalmát, és a fizetést a támadó címére irányítja át, de az is gyakori forgatókönyv, hogy célzottan csak összegyűjti és ellopja az adott számítógépről az online fizetéshez szükséges belépési azonosítókat.

Ezenfelül a telepített hátsóajtó komponens segítségével a rejtett támadó teljes mértékben átveheti az uralmat a megtámadott számítógép felett, ezáltal az alább felsorolt kártékony tevékenységeket tudja elvégezni:

  • információkat gyűjthet a fertőzött számítógépről, a felhasználóról és a telepített szoftverekről
  • tetszőleges parancssori scriptet futtathat a célszámítógépen
  • tetszőleges fájlt ellophat az áldozat merevlemezéről, és továbbíthatja a támadó vezérlő szerverére
  • frissítheti saját magát újabb kártevő verzióra

OSX/CoinThief

Kapcsolódó blogbejegyzés (angol nyelven):

OSX/Agent.AE

MacKeeper szoftverben (harmadik fél által készített, és kétes megítélésű rendszer-optimalizáló segédprogram) található sebezhetőséget kihasználva hátsóajtót (backdoor) telepít a rendszerekre.

Az OSX/Agent.AE legfontosabb szerepe, hogy a letöltött kód segítségével a távoli támadóknak hozzáférést biztosítson a megfertőzött számítógéphez.

Telepítés után először ellenőrzi az internet kapcsolatot. Ha ez sikeres, úgy egy titkos kommunikációs csatornát hoz létre, amin keresztül további parancsokat tud fogadni.

A kártevő fő jellemzői:

  • kártékony fájlokat tölt le, és a megfelelő jogosultságok hozzáadása után ezeket le is futtatja
  • parancssori utasításokat hajt végre
  • fájlokat tölt fel a fertőzött számítógépről távoli szerverekre

OSX/OceanLotus

Kínai vállalatok ellen irányuló célzott APT támadás részeként vált ismertté.

A multiplatform (különböző operációs rendszeren működő) támadás a Windows és OS X rendszerekre jelent veszélyt. Adathalász e-mailekben terjed, és ezekben magát Adobe Flash frissítésnek álcázza, akciója pedig szinte kivétel nélkül kínai kormányzati szervek, tengerészeti intézmények, kutatási szervezetek, valamint szállítási vállalkozások ellen irányul.

Az OSX/OceanLotus egy olyan rosszindulatú alkalmazáscsomag, amely egy dropper (önmagából újabb kártékony kódot kibocsátó) és két további titkosított komponensből áll. Az első titkosított állomány a dropper program másolata, míg a második fájl tartalmazza a fertőző rutint. Ez utóbbi a temporary mappában létrejövő "pboard" elnevezésű alkalmazás, amely az alábbi tulajdonságokkal rendelkezik:

  • parancssori utasításokat hajt végre, például mappák tartalmát listázza, illetve állományokat képes másolni, vagy áthelyezni
  • kártékony fájlokat, illetve alkalmazásokat tölt le távoli gépről, és ezeket le is futtatja
  • kilistázza a nemrég megnyitott dokumentumokat és az éppen megnyitott ablakok tartalmát
  • észrevétlenül képernyőkép mentéseket készít
  • kilistázza az éppen futó folyamatokat, illetve ezek közül bármelyiket képes leállítani

A fertőzés során a kártevő "corevideosd" néven telepíti magát a /Library/Logs/.Logs rejtett mappába. Hosszútávú jelenlétének biztosítása érdekében hozzáadja magát a LaunchAgents könyvtárban az autostart konfigurációhoz com.google.plugins.plist néven.

OSX/KeRanger

első valós környezetben jelentkező OS X alatt futó zsaroló program

A KeRanger névre keresztelt kártevő a Transmission torrentkliensbe épülve terjedt el, és annak 2.90-es verziószámú frissítésével töltődött le a felhasználók gépére. A támadóknak magát a Transmission hivatalos letöltési webhelyét sikerült megfertőzni, és a trójai kártevő valódi, érvényes fejlesztői aláírással rendelkezett, így azt az OS X 10.8-as verzióval bevezetett Apple Gatekeeper Execution Prevention védelmi technológia sem volt képes megállítani. A védekezéshez hasznos tanács, ha még az alkalmazások telepítése előtt a legszigorúbb, azaz csak a Mac App Store-ból származó programok futását engedélyező opciót választjuk ki.

Ha a kódot lefuttatják, akkor három napig rejtve maradva várakozik, mielőtt aktiválódna. Azt követően erős AES-256 és RSA-2048 algoritmus segítségével titkosítja az áldozat számítógépén található fájlokat, majd a visszaalakításért váltságdíjat követel. A titkosítással végigmegy minden egyes /Users és /Volumes mappákban található állományon, és az elkódolásnál fájlonként eltérő egyedi kulcsot használ. Ennek végeztével csatlakozik egy Tor hálózatban található távoli oldalra, ahonnan letölti a váltságdíjat követelő üzenetet, és az RSA publikus kulcsot.

Kapcsolódó blogbejegyzés (angol nyelven):

OSX/Keydnap

titokban hátsóajtót nyit a rendszeren és felhasználói belépési adatokat tulajdonít el

A támadás első szakaszában egy tömörített .ZIP állomány töltődik le a számítógépre. Ez a fájl egy olyan aláíratlan Mach-O típusú futtatható fájlt tartalmaz, amelynek kiterjesztése látszólag valamilyen dokumentum, például .txt vagy .jpg. Azonban a fájl kiterjesztés vége egy extra szóköz karaktert is tartalmaz, emiatt a dupla kattintás után nem a várt megtekintés (Preview) vagy TextEdit indul el, hanem helyettük egy parancssori terminál.Elindítás után letölti és lefuttatja a hátsóajtó komponenst, majd a fertőzés nyomainak eltüntetése érdekében saját magát is felülírja egy beágyazott, ártalmatlan csali dokumentummal.

A visszafejtés nehezítése miatt a hátsóajtó végrehajtható kódját az UPX tömörítő program egy speciális módosított változatával tömörítették össze.

Annak érdekében, hogy a kártékony kód minden rendszerindítás után lefusson, hozzáadja magát a LaunchAgents könyvtárban az autostart konfigurációhoz com.apple.iCloud.sync.daemon.plist néven. Mivel rendszergazdai jogosultságokkal képes futni, megváltoztatja saját jogosultsági beállításait is oly módon, hogy a jövőben mindig "root", azaz a legmagasabb, adminisztrátori szintű hozzáférése lehessen. Fő célja, hogy a fertőzött számítógépről rendszerszintű és felhasználói belépési adatokat gyűjtsön össze. A kártevő számos különféle távoli parancsot képes fogadni, amelyek segítségével az alábbi tevékenységeket tudja végrehajtani:

  • el tudja távolítani önmagát
  • frissítheti a kártevő kódját egy base64 kódolású fájl letöltésével, vagy egy megadott URL hivatkozás segítségével
  • letölthet és lefuttathat különféle Python szkripteket egy adott URL oldalról
  • parancssori utasításokat hajthat végre, és ezek kimenetét elküldheti
  • egy megtévesztő párbeszéd ablak segítségével rendszergazdai jogosultságokat adományozhat tetszőleges forrásnak
  • az úgynevezett authd_service segítségével további távoli kártékony utasításokat képes fogadni és lefuttatni

Kapcsolódó blogbejegyzés (angol nyelven):

OSX/Eleanor

Tor alapú hátsóajtó (backdoor) alkalmazás, amely hozzáfér az áldozat webkamerájához

Ez a kártevő az EasyDoc Converternek nevezett drag-and-drop típusú fájlkezelő programmal terjed. Ebbe az alkalmazásba ugyanis egy Dropbox linkre mutató shell script hivatkozást is belecsomagoltak, amely a fájlkezelő installálása közben lefutva titokban a trójai program részeit is telepíti a gépre. A kártevő három összetevőből áll: egy rejtett Tor szolgáltatás, egy állandóan a háttérben futó Pastebin agent alkalmazás és egy PHP alapú grafikus felületű webes szolgáltatás.

A Tor szolgáltatás az áldozat megfertőzött számítógépét szerverként használja, amelyen keresztül a távoli támadók anonim módon férhetnek hozzá a különféle Tor által generált webhelyekhez.

Ezeket a speciális Tor alapú címeket a háttérben futó Pastebin agent titkosítva folyamatosan feltölti a Pastebin weboldalára.

Végül pedig a webszolgáltatás, mint a kártékony program főkomponense gondoskodik arról, hogy a megfertőzött számítógép felett a távoli támadók titokban átvehessék az uralmat. A távoli támadók a sikeres bejelentkezés után az alábbi műveleteket tudják észrevétlenül végrehajtani:

  • fájlok teljes körű kezelése: megtekintés, átnevezés, feltöltés, letöltés, archiválás, stb.
  • parancssori utasítások végrehajtása
  • Bind/Reverse shell csatornán keresztüli távoli bejelentkezés
  • kapcsolódás különböző adatbázis-kezelő rendszerekhez, mint például MySQL vagy SQLite
  • s számítógépen futó folyamatok listázása
  • csatolmánnyal rendelkező e-mailek kiküldése, spammelés
  • észrevétlenül képernyőkép mentéseket, illetve a webkamerával pedig videókat készíthet

OSX/Komplex

OS X alatt működő, célzott támadásokhoz használt kiterjedt eszközkészlet részkomponense

Az OSX/Komplex egy Sednit (vagy más néven Sofacy) nevű kártékony eszközkészlethez tartozik. A több rosszindulatú eszközt is magában foglaló támadókészletet kormányzati és ipari szervezetek elleni célzott támadásokhoz használták fel. A trójai program három fő részből áll, végrehajtásakor ezek a fokozatai. Először egy csali dokumentum segítségével megtéveszti az áldozatot, majd utána egy további kártékony kódot hoz létre a rendszerben.

A második lépésben arról gondoskodik, hogy a kártékony kód minden rendszerindítás után lefuthasson. Végül pedig a büntető rutin lefutása után egy titkos kommunikációs csatornát hoz létre, amelynek segítségével a támadók távolról átvehetik a teljes irányítást a megfertőzött számítógép felett. Ennek során az alábbi műveleteket tudják észrevétlenül végrehajtani:

  • parancssori utasítások végrehajtása
  • az internetről letöltött fájlok letöltése és futtatása
  • tetszőleges fájlok ellopása, elküldésük egy távoli szerverre

Komplex document screenshot

Kapcsolódó blogbejegyzés (angol nyelven):