27 czerwca 2012 r. eksperci z Kaspersky Lab przechwycili nową falę ataków na system Mac OS X będących częścią kampanii APT (Advanced Persistent Threat), których celem byli aktywiści ujgurscy.
Cyberprzestępcy przeprowadzający ataki wysyłali spersonalizowane wiadomości e-mail do wybranej liczby aktywistów ujgurskich będących użytkownikami Maków. Specjalnie przygotowane e-maile zawierały załączniki ZIP, w których krył się szkodliwy backdoor dla systemu Mac OS X. W celu ukrycia szkodnika cyberprzestępcy umieścili w archiwum ZIP obrazek JPG wraz z niebezpieczną aplikacją.
Analitycy z Kaspersky Lab przeanalizowali backdoora dla systemu Mac OS X i doszli do wniosku, że szkodliwa aplikacja stanowi w rzeczywistości nowy i w większości niewykrywany wariant backdoora MaControl, który działa zarówno na Makach z procesorami Intel, jak i PowerPC. Oprogramowanie firmy Kaspersky Lab wykrywa ten szkodliwy program jako „Backdoor.OSX.MaControl.b”.
Po uruchomieniu backdoor MaControl instaluje się systemie ofiary i nawiązuje połączenie z serwerem kontrolowanym przez cyberprzestępców w celu uzyskania instrukcji. Backdoor pozwala swojemu operatorowi przejąć kontrolę nad zainfekowanym Makiem. Podczas analizy szkodnika eksperci z Kaspersky Lab zidentyfikowali serwer cyberprzestępców, który jest zlokalizowany w Chinach.
"Popularność Maków wzrasta nie tylko ogólnie wśród użytkowników na całym świecie, ale również wśród znanych osób, które decydują się na komputery z systemem Mac OS X, ponieważ wierzą, że są one bezpieczniejsze" – powiedział Costin Raiu, dyrektor GReAT w Kaspersky Lab. "Uważamy jednak, że wraz ze wzrostem liczby użytkowników Maków zwiększy się również liczba ataków nastawionych na masową infekcję, jak również ukierunkowanych kampanii cyberprzestępczych skierowanych na te komputery. Osoby atakujące wciąż będą udoskonalać swoje metody, łącząc najnowocześniejsze technologie i sztuczki socjotechniczne w celu infekowania ofiar".
Nie jest to pierwszy raz, gdy Kaspersky Lab zidentyfikował ataki APT na użytkowników systemów Mac OS X. W kwietniu 2012 r. analitycy z Kaspersky Lab opublikowali informacje o aktywnej kampanii APT pod nazwą SabPub, której celem była platforma Mac i w której wykorzystano lukę w aplikacji MS Office. Po tym, jak trojan zainfekował maszynę ofiary, potrafił wykonywać zrzuty ekranu bieżącej sesji użytkownika oraz realizować zdalne polecenia na zainfekowanym komputerze.
Chociaż niesławny trojan FlashFake, który pozwolił cyberprzestępcom stworzyć botnet złożony z ponad 700 000 komputerów Mac, stanowił najbardziej znaczący przykład infekcji komputerów Mac OS X, cyberprzestępcy nadal atakują tę platformę, w znacznej mierze poprzez kampanie ukierunkowane. Warto tutaj wspomnieć, że kilka dni temu Apple wycofał ze swojej strony twierdzenie, że "Mac nie jest podatny na tysiące wirusów stanowiących plagę dla komputerów z systemem Windows".
W 2012 r. krajobraz bezpieczeństwa systemów Mac OS X nadal zmienia się – cyberprzestępcy atakują tę platformę przy użyciu różnych rodzajów technik i metod.
Więcej informacji na temat omawianego ataku APT i nowej wersji backdoora Mac OS X MaControl można znaleźć w Encyklopedii Wirusów VirusList.pl prowadzonej przez Kaspersky Lab: http://www.viruslist.pl/weblog.html?weblogid=802.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.