Backdoor.OSX.Morcut - новый зловред для Mac


Backdoor.OSX.Morcut - новая вредоносная программа, нацеленная на пользователей MAC OS X. Вредонос распространяется с использованием социальной инженерии через JAR файл с именем

  • AdobeFlashPlayer.jar

подписанный, якобы, компанией VeriSign Ing.

Preduprejdenie virt mashini JAVA o zapuske appleta
Предупреждение виртуальной машины JAVA о запуске недоверенного апплета

Получив разрешения пользователя на работу, данный JAR файл создаёт во временной папке

  • ~spawn[набор цифр].tmp.dir

исполняемый файл

  • payload.exe

размером 993440 байт и запускает его.

Chast koda JAR faila
Часть кода JAR файла, отвечающего за сохранение на диск и запуск вредоносной программы для MAC OS X

После запуска Backdoor.OSX.Morcut производит инициализацию своих компонентов и передаёт на них управление. Компонентами являются:

  1. Инсталлятор, модуль связи с сервером управления (mach-o файл для x86, размер 401688 байт). Проверяет наличие файла автозагрузки
    • Library/LaunchAgents/com.apple.mdworker.plist

    и файлов c украденными данными, которые имеют имена

    • *.flg

  2. Руткит (mach-o файл, драйвер для x86, размер 14724 байт, имеет внутреннее имя mchook). Отвечает за сокрытие файлов и процессов в системе.
  3. Руткит (аналогичен предыдущему, но для x64).
  4. Шпион (mach-o файл для x64, размер 365564 байт). Отвечает за работу с Firefox, Safari, Skype, Adium, перехватывает нажатия клавиш клавиатуры и положение курсора при нажатии мыши, перехватывает содержимое буфера обмена, аудио потоков и изображения на экране.
  5. Шпион (аналогичен предыдущему, но для x86, размер 93048 байт).
  6. Файл автозапуска (mach-o файл для x64, размер 24808 байт). Отвечает за связь модулей.
  7. Файл автозапуска (аналогичен предыдущему, но для x86, размер 24100 байт).

Fail avtozapuska JAR faila
Часть кода модуля шпиона для шифрования украденных данных и связи с сервером управления



Chast koda modulya shpiona
Часть кода модуля шпиона для перехвата нажатия клавиш клавиатуры и мыши

Функционал данных модулей может незначительно меняться в зависимости от наличия административных прав у пользователя. Запрос пароля у пользователя при этом не производится.

Данные модули написаны с большим профессионализмом и в расчете на более широкое использование в будущем. При этом по коду видно, что злоумышленники разрабатывали данного трояна для продажи на хакерских форумах. Вполне возможно, что в скором будущем данная вредоносная программа может стать аналогичной ZeuS — по популярности и количеству построенных на ее основе ботнетов.

P.S.: На текущий момент KSN не фиксирует заражений компьютеров пользователей данной вредоносной программой.