Mac.BackDoor.Systemd.1 - новый бэкдор для Mac


Mac.BackDoor.Systemd.1 - троянская программа для операционной системы Apple macOS, способная выполнять поступающие от злоумышленников команды.

В момент старта Mac.BackDoor.Systemd.1 выводит в консоль сообщение с опечаткой:

  • "This file is corrupted and connot be opened"

и перезапускает себя в качестве демона с именем systemd.

Для запуска может использовать следующие аргументы:

  • d - daemon
  • r - запуск
  • u - обновление


При этом Mac.BackDoor.Systemd.1 пытается скрыть собственный файл. Для этого он устанавливает для него соответствующие флаги - uchg, schg, hidden. После этого троян регистрирует себя в автозагрузке, создавая файл с командами sh для запуска службы:

#!/bin/sh
. /etc/rc.common
StartService (){
    ConsoleMessage "Start system Service"
    "Путь к файлу" d
}
StopService (){
    return 0
}
RestartService (){
    return 0
}
RunService "$1"


Файл имеет следующее содержание:

{
    Description     = "Start systemd";
    Provides        = ("system");
    Requires        = ("Network");
    OrderPreference = "None";
}


Также создается файл .plist:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
      <plist version="1.0">
      <dict>
               <key>Disabled</key>
               <false/>
               <key>UserName</key>
               <string>root</string>
               <key>Label</key>
               <string>
               com.appule.sysetmd
               </string>
               <key>KeepAlive</key>
               <dict>
                   <key>NetworkState</key>
                   <true/>
               </dict>
               <key>ProgramArguments</key>
                   <array>
                       <string>
                       Путь к файлу
                       </string>
                       <string>d</string>
                  </array>
               <key>RunAtLoad</key>
               <true/>
               <key>StartInterval</key>
               <integer>5</integer>
      </dict>
      </plist>


Вся конфигурационная информация хранится в файле трояна и зашифрована с использованием алгоритма 3DES. Пример расшифрованной конфигурации:

Mac.BackDoor.Systemd.1 Primer rashifrovannoy configuracii

В зависимости от нее Mac.BackDoor.Systemd.1 либо сам устанавливает связь с управляющим сервером, либо ожидает входящего запроса на соединение. Установив связь с сервером, бэкдор выполняет поступающие команды, периодически отсылая злоумышленникам следующую информацию:

  • наименование и версия операционной системы;
  • имя пользователя;
  • наличие у пользователя привилегии администратора (root);
  • MAC-адреса всех доступных сетевых интерфейсов;
  • IP-адреса всех доступных сетевых интерфейсов;
  • внешний IP-адрес;
  • тип процессора;
  • объем оперативной памяти;
  • данные о версии вредоносной программы и ее конфигурации.


Кроме того, троян имеет собственный файловый менеджер. Использование его позволяет киберпреступникам выполнять различные действия с файлами и папками на зараженном компьютере. Бэкдор способен выполнять следующие команды:

Mac.BackDoor.Systemd.1 Vozmojnie comandi