Intego: Mac-зловред обходит систему Mac Gatekeeper


integoСегодня 12 марта 2013 года компания Intego сообщила об обнаружении нового вредоносного кода, ориентированного на компьютеры Apple. Обнаруженный Mac-вредонос уже успел заразить компьютеры сотрудников Apple, Facebook, Twitter, а также ряда других, в том числе и правительственных, американских организаций. Среди пострадавших от Mac-зловреда есть и один из тройки ведущих американских автопроизводителей.

Вредоносный код, получивший наименование Pintsized.A, представляет собой новый класс Mac-вредоносов, использующих ранее неизвестную уязвимость во встроенном в Mac OS X средстве безопасности Gatekeeper. Утилита Gatekeeper изначально была предназначена для контроля устанавливаемых программ и блокировки файловой системы от несанкционированной инсталляции.

Pintsized.A маскируется под программное обеспечение CUPS, применяемое в Linux и Mac для управления печатью документов. И только внимательный Mac-пользователь может обратить внимание, что псевдо-CUPS пытается установиться в папку, не имеющую никакого отношения к легитимному CUPS.

После установки в систему Pintsized.A открывает сетевой канал для общения с удаленным командным сервером, контролируемым хакерами. Для введения в заблуждение вредонос использует модифицированную версию утилиты OpenSSH, причем сам вредонос шифрует свои данные при помощи SSH, что усложняет его обнаружение.

Сейчас большая часть копий Pintsized обращается к серверу по адресу

  • corp-aapl.com


В компании Intego утверждают, что сетевые инженеры Facebook выявили подозрительный трафик в отношении данного ресурса со стороны внутренней сети компании. Похожая ситуация была в Twitter и Apple.


Обновлено (12.03.2013 13:50)