Вчера во многие антивирусные лаборатории поступил экземпляр новой вредоносной программы, которая нацелена на пользователей MAC OS X. Данный экземпляр, получивший имя Backdoor.OSX.Morcut, распространяется с использованием социальной инженерии через JAR файл с именем AdobeFlashPlayer.jar, который подписан якобы компанией VeriSign Ing.

Предупреждение виртуальной машины JAVA о запуске недоверенного апплета

Несколько дней назад мы зарегистрировали новую APT-кампанию, в которой был применен новый вариант бэкдора для MacOS X, нацеленный на уйгурских активистов.

Однако прежде чем перейти к подробностям, предложу вам небольшую викторину:

Далай-лама заходит в магазин Apple Store. Зачем?

Возможный ответ: «Чтобы купить новый компьютер MacBook Pro с дисплеем Retina!» (кстати говоря, я бы тоже купил такой с большим удовольствием, но чем я буду оправдывать дыру в семейном бюджете?).

Шутки шутками, а Далай-лама — известный пользователь компьютеров Mac. Вот фото, на котором он использует Mac во время сеанса конференц-связи:

Анализ результатов первичного осмотра, проведенного бесплатным антивирусом Sophos для Mac, показал, что 2,7% «яблочных» компьютеров (каждый 36-й) заражены, а 20% являются носителями одного или нескольких Win-зловредов.

Основой для исследования послужили данные, собранные за неделю по контрольной выборке из 100 тыс. Mac-машин, на которые был недавно установлен упомянутый антивирусный сканер. Как оказалось, наиболее распространенными видами локальной OSX-инфекции являются Flashback (75,1% детектов) и лжеантивирусы (17,8%). Среди резидентных зловредов, ориентированных на платформу Windows, преобладают Bredolab (12,2%) и Mal/Phish (фишинговая html-страница, обычно распространяемая в спаме, ― 7,4%), в меньшем объеме ― поддельные антивирусы (3,8%).

Разумеется, вредоносные Win-приложения, обосновавшиеся на «маках», лишены возможности реализовать свой функционал: для этого надо, чтобы пользователь запустил на своей машине Windows. Однако их присутствие создает лишний очаг инфекции в Сети, и, согласно статистике Sophos, такую угрозу представляет собой каждый пятый Mac, лишенный защиты. По словам экспертов, некоторые зловреды, обнаруженные на компьютерах пользователей в рамках исследования, были запущены в Сеть еще в 2007 году. Их без труда может выявить любой антивирус, но ставить его следует вчера.

Рыночная доля! Это очевидный, но не единственный возможный ответ.

По различным оценкам в 2011 году на долю компании Apple приходилось более 5% персональных компьютеров/ноутбуков по всему миру. Это достаточно серьезная доля рынка: ОС Linux установлена менее чем на 2% всех компьютеров, а доля Google ChromeOS и того меньше. Достижение компьютерами на базе Mac OS максимального уровня популярности за последние 15 лет совпало по времени с появлением атак с использованием фальшивых антивирусов, нацеленных на компьютеры Apple. Мы обнаружили атаку и написали о ней в блоге в апреле, а потом снова в мае 2011 года. Теперь это совпадение уже не кажется странным. Кстати, то, что вредоносное ПО для компьютеров Apple стало распространенным именно сейчас, скорее всего, не связано с тем, что раньше не было эксплойтов для Apple или с тем, что в системе Mac OS X уделяется какое-то особенное внимание безопасности. Во время «Месяца багов Apple» (Month of Apple Bugs), прошедшего в 2007 году, было показано, что Mac OS X и код, написанный для этой системы, полны уязвимостей, которые злоумышленники вполне могут использовать. На хакерских конкурсах регулярно создаются эксплойты для Safari, Quicktime и других программ, установленных на устройствах Apple. И все же до прошлого года система не привлекала внимания широких масс киберпреступников.

В конце прошлой недели мы обнаружили признаки связи между троянцем-бэкдором для Mac OS X и APT-атакой, известной под названием LuckyCat. IP-адрес командного сервера (C&C), с которым соединяется данный бот (199.192.152.*), использовался также в 2011 году некоторыми вредоносными программами для Windows, из чего мы сделали вывод, что за всеми этими атаками стоит одна и та же группа киберпреступников.

В течение двух дней мы вели мониторинг «фальшивой» зараженной системы — это обычная наша практика, когда дело касается ботов, используемых в APT-атаках. Нетрудно вообразить наше удивление, когда на выходных киберпреступники, управляющие APT-атакой, взяли под свой контроль нашу «зараженную» машину и принялись ее исследовать.

В пятницу, 13 апреля был закрыт порт 80 на командном сервере по адресу rt*****.onedumb.com, размещенном на виртуальном выделенном сервере (VPS), находящемся в г. Фремонт (Калифорния) в США. В субботу порт был открыт, и бот вышел на связь с командным сервером. В течение всего дня трафик формировали только handshake- и служебные пакеты.

Утром воскресенья 15 апреля характер трафика, генерируемого C&C, поменялся. Злоумышленники перехватили соединение и принялись за анализ нашего фальшивого компьютера-жертвы. Они вывели список файлов корневой и домашней папок и даже украли некоторые из размещенных нами на компьютере в качестве приманки документов!

Сегодня по всему миру насчитывается более 100 миллионов пользователей Mac OS X. В последние годы их количество быстро росло, и мы ожидаем продолжения этого роста. До недавнего времени вредоносное ПО для Mac OS X оставалось достаточно узкой категорией. В эту категорию входили, в частности, троянские программы, такие как версия DNSChanger для Mac OS X. Позже к ним присоединились атаки фальшивых антивирусов/scareware, пик которых пришелся на 2011 год. В сентябре 2011 года появились первые версии троянца Flashback, созданного для Mac OS X, однако они не получили большого распространения до марта 2012 года. По данным, собранным «Лабораторией Касперского», в начале апреля насчитывалось почти 700 000 зараженных троянцем компьютеров — хотя возможно, что на самом деле их было еще больше. Уровень безопасности системы Mac OS X может быть очень высоким, однако для того чтобы не стать жертвой атак, которые становятся все более многочисленными, имеет смысл принять определенные меры.

На прошлой неделе компания «Доктор Веб» сообщила об обнаружении ботнета Flashback (Flashfake), состоящего из машин с операционной системой Mac OS X. По данным компании, в состав ботнета входит более полумиллиона зараженных компьютеров Mac.

Мы откликнулись на это сообщение анализом новейшего варианта бота — Trojan-Downloader.OSX.Flashfake.ab.

Бот распространяется через зараженные вебсайты в виде Java-апплета, выдаваемого за обновление для Adobe Flash Player. Java-апплет запускает на выполнение загрузчик первого уровня, который загружает и устанавливает основной компонент троянской программы. Основной компонент представляет собой троянец-загрузчик, который постоянно соединяется с одним из командных (C&C) серверов и ожидает команд на загрузку и выполнение новых компонентов.

Бот находит свои C&C серверы по доменным именам, которые генерируются с помощью двух алгоритмов. Первый алгоритм основан на текущей дате, второй использует несколько переменных, которые хранятся в теле бота в зашифрованном виде. Шифрование основано на алгоритме RC4 и использует UUID (уникальный идентификатор компьютера) в качестве ключа.

Intego обнаружила itw новую версию OSX-троянца, маскирующегося под Flash Player. В отличие от прежних вариантов, делавших ставку исключительно на социальную инженерию, она проникает на компьютер посредством эксплуатации 2-х уязвимостей в Java.

По свидетельству экспертов, большинство жертв нового Flashback используют OS X 10.6 Snow Leopard. Если попытка эксплуатации Java оказалась провальной, зловред прибегает к социальной инженерии, воспроизводя фальшивый сертификат, якобы подписанный Apple. Нажатие кнопки «Continue» («Продолжить») в этом окне завершит установку. Flashback.G инсталлируется как неотображаемый файл с расширением .so в папке /Users/Shared. Эксперты отмечают, что присутствие некоторых антивирусных программ на компьютере отпугивает троянца, его установка в этом случае отменяется.

Основной функцией Flashback.G является кража регистрационных данных из браузера и других сетевых приложений. Его интересуют пароли к аккаунтам Google, Yahoo, CNN, банковским сервисам, PayPal и проч. Троянец снабжен модулем автоматической загрузки обновлений, который проверяет ряд заданных сайтов на наличие новых версий.

Одним из характерных признаков присутствия Flashback.G в системе является нестабильная работа веб-браузера (Safari) и других сетевых приложений (Skype). Зловред внедряет код в соответствующие процессы и во многих случаях вызывает аварийный отказ. О наличии инфекции сигнализирует также Java-апплет в папке ~/Library/Caches.

Эксперты F-Secure обнаружили новую версию OSX-троянца, который использует вычислительные мощности зараженного компьютера для генерации биткойнов в пользу своих хозяев.

Первоначальный вариант зловредного майнера для Mac OS, известный как DevilRobber (в классификации ЛК Backdoor.OSX.Miner), объявился на торрент-трекерах в конце октября. Его компоненты скачали несколько пользователей The Pirate Bay в комплекте с копиями популярных легальных программ. DevilRobber обладает функционалом бэкдора, осуществляет сбор информации на зараженной машине и отправляет ее на удаленный ftp-сервер злоумышленника. При запуске троянец проверяет наличие Little Snitch (файервола) и производит установку лишь при его отсутствии. Он создает точку запуска ~/Library/LaunchAgents/com.apple.legion.plist и прописывается в домашней папке как ~/Library/mdsa1331.

В апреле в поддоменах .co.cc и .cz.cc появилось большое количество веб-сайтов, распространяющих вредоносное ПО. Вслед за необычно большим количеством DNS-регистраций в доменах .co.cc и .cz.cc наблюдался всплеск распространения фальшивых антивирусов для Apple. Позже регистрация DNS-имен, как и прогнозировалось, привела к всплеску в распространении фальшивых антивирусов для Mac.

Однако, распространение фальшивых антивирусов с начала года неуклонно падало. В последние шесть месяцев произошло несколько связанных с этим событий. Blackhole-операторы мигрировали в поддомены .info, а за ними последовали операторы других вредоносных сайтов. Становится ли домен .info «клоном».cc?

Итак, как же выглядел этот переход? Давайте посмотрим на то, что происходило в начале года. Регистраторы доменов .co.cc и .cz.cc предлагают бесплатную регистрацию в системе DNS и дешевый, а то и бесплатный хостинг. Распространители вредоносного ПО воспользовались предлагаемыми бесплатными ресурсами и использовали эти URL-адреса для хостинга пакета эксплойтов Blackhole, используемого для автоматизации загрузки фальшивых антивирусов и других зловредов. Эксплойты Java стали самыми эффективными и наиболее популярными в пакете Blackhole; вслед за ними идут эксплойты, направленные на уязвимости в Adobe Reader и в протоколе Microsoft HCP. Для привлечения трафика к этим пакетам использовались различные методы: искажение результатов поиска в Google Image, заражение легитимных сайтов, перенаправление браузеров на сайты, содержащие эксплойты, при помощи внедренных iframe и img src, и, наконец, успешная реклама вредоносных ресурсов на страницах крупных почтовых сервисов.