Хронология Мас-угроз в связи с юбилеем


Mac OSАнтивирусная компания ESET напоминает пользователям компьютеров Apple о 10-летии вредоносного ПО для Mac OS X.

Как показывает история число Мас-угроз на протяжении последних 10 лет увеличивается, об этом свидетельствует хроника от ESET.


Хронология Мас-угроз за последние 10 лет


2004
Opener
(Renepo) - вредоносный скрипт с функциями бэкдора и шпионского ПО. Предназначен для блокировки встроенного брандмауэра Мас OS Х, предоставляя злоумышленникам доступ к персональным данным, а также возможность дистанционного управления зараженным компьютером.

Amphimix (MP3Concept) - экспериментальный троян для Мас. Маскировался под mp3-файл с соответствующей иконкой. Известен как первый экспериментальный вредоносный код для OS X, in-the-wild не наблюдался.


2006
Leap - первый червь для OS X, который распространяется по контактам в мессенджере iChat как архивный файл latestpics.tgz, после распаковки маскируется под формат .JPEG. В фишинговом сообщении представлен как установщик новой ОС от Apple.

Inqtana - экспериментальный червь, использующий уязвимость в реализации Bluetooth. Написан на Java. Распространялся через уязвимость в сервисе Apple Bluetooth, позже исправленную Apple.


2007
Jahlav (RSPlug, DNSchanger, Puper) - семейство вредоносных программ, предназначенных для изменения настроек DNS таким образом, чтобы все запросы в браузере пользователя были переадресованы на сервер злоумышленников.


2008
MacSweep (MacSwp-A, MacSweeper) - первый образец мошеннического ПО, представляет собой фальшивый антивирус для Мас OS Х.

iMunizator (Troj/MacSwp-B, OSX_MACSWEEP.B, OSX/AngeloScan) - лже-антивирус. Предлагает поиск вредоносного ПО, cookies и скомпрометированных файлов, а также оптимизацию производительности.


2009
Tored - экспериментальный червь, распространяющийся через электронные письма путем использования собственной реализации SMTP-протокола. Для получения дополнительных инструкций может взаимодействовать с управляющим сервером.


2010
Hovdy - семейство вредоносного ПО, предназначенное для кражи данных. Представляют собой набор скриптов, которые используются для сбора данных с зараженного компьютера и их передачи на сервер злоумышленников.

HellRTS (HellRaiser) - троянская программа, предназначенная для кражи данных и удаленного доступа. Предоставляет злоумышленникам возможность управления зараженным компьютером:

  • запуск файлов .ехе;
  • перезагрузка;
  • открытие веб-страниц;
  • кража скриншотов и файлов по протоколам HTTP, FTP и SMTP и др.


OpinionSpy (PermissionResearch, PremierOpinion) - шпионское ПО с функциями бэкдора и обеспечения удаленного доступа. Загружается на компьютер в процессе установки приложений и заставок, маскируется под утилиту для проведения опросов. Перехватывает действия и данные, используется как бэкдор и инструмент удаленного доступа.

Boonana - межплатформенный троян, ориентированный на пользователей Mac, Windows и Linux. Распространяется под видом видеофайла в соцсетях, объединяет зараженные компьютеры в ботнет.


2011
BlackHole (DarkComet, MusMinim) - многокомпонентный троян с функциями бэкдора, представляющий собой средство удаленного доступа (remote access tool) для запуска команд. Очевидная связь с BlackHole Exploit Kit не установлена.

MacDefender (MacProtector, MacDetector, MacSecurity, Apple Security Center, MacGuard, MacShield) - поддельный антивирус для Мас. Предупреждает о "заражении", вынуждает пользователя оплатить переход на полную версию программы, компрометируя данные банковской карты.

Olyx - бэкдор с функцией загрузчика, который используется злоумышленниками для получения удаленного доступа к зараженному компьютеру. Получает данные и инструкции из интернета или с управляющего сервера.

Flashback - крупнейший на сегодняшний день Мас-ботнет, основанный на троянской программе, выступающей в качестве загрузчика других вредоносных программ. Для привлечения пользователей на инфицированные сайты используются методы социальной инженерии.

Revir и Imuler - дроппер и установщик с функциями шпионского ПО. При этом:

  • Revir - устанавливает свои модули и другие программы в систему жертвы, а его модули могут использоваться для слежения за активностью пользователей.
  • Imuler - обеспечивает удаленный доступ к системе жертвы (бэкдор).


Devilrobber (Miner) - вредоносная программа для майнинга биткоинов. Распространяется через торренты в качестве компонента легальной программы GraphicConverter. Не заражает системы OS X с брандмауэром Little Snitch.

Tsunami (Kaiten) - бэкдор, управляемый через IRC-протокол, который используется для удаленного управления зараженной системой и организации с ее помощью распределенных DDoS-атак. Исполняемый файл Tsunami содержит в коде список C&C-серверов, с которыми он взаимодействует по IRC протоколу.


2012
Sabpab - троянская программа, используемая для удаленного управления зараженным компьютером посредством НТТР-протокола и специальных команд. Вредоносный код содержит жестко зашитый URL-адрес C&C-сервера.

Morcut (Crisis) - кросс-платформенный троян, предназначенный для слежения за пользователями. Ориентирован на версии OS X Snow Leopard и Lion. Может быть установлен через вредоносный сайт с эксплойтом. Содержит руткит-составляющую, которая активируется при использовании пользователем наивысших прав при работе в системе.

Lamadai - бэкдор, использовавшийся в атаках на неправительственные организации Тибета. Установка вредоносного кода осуществлялась через зараженный сайт с использованием Java-уязвимости.


2013
Kitm и Hackback - семейства вредоносного ПО, которые использовались против участников конференции Oslo Freedom Forum. Основное назначение: шпионаж и запуск на зараженном компьютере других вредоносных программ. Позволяют делать скриншоты рабочего стола и отправлять их на удаленный сервер.

Yontoo - потенциально нежелательное приложение (grayware), представляющее собой плагин для браузера, позволяющий перенаправлять пользователей на рекламные сайты.

Minesteal (Minesweep) - кросс-платформенный троян, написанный на Java, используемый для кражи паролей пользователей онлайн-игр. Напоминает семейство похитителей паролей Win32/PSW.OnlineGames, ориентированное на Windows.

OSX/Fucobha (Icefog) - известный в Восточной Азии бэкдор, который использовался наряду с троянами для Windows в направленных атаках на корпорации и правительственные учреждения Азии для кражи данных, сбора системной информации, удаленного управления.

OSX/Pintsized - бэкдор, предоставляющий удаленный доступ к зараженному устройству, состоящий из Perl-скриптов с расширением .plist и бинарных файлов формата Mach-O. Использует уязвимость во встроенном средстве безопасности Gatekeeper.


2014
OSX/LaoShu - троянская программа, обеспечивающая загрузку и исполнение файлов с удаленного сервера. Распространяется через поддельные сообщения "службы доставки FedEx", вредоносная программа маскируется под PDF-файл.

OSX/Appetite (Mask, Careto) - вредоносная программа для шпионажа, которая использовалась для направленных атак на правительственные и дипломатические учреждения, корпорации и пр.

OSX/CoinThief - вредоносный код, предназначенный для кражи биткоинов и удаленного доступа к компьютеру. Содержит в себе компонент для кражи биткоинов, инструмент модификации легальных программ, расширение для браузера и бэкдор. Распространяется под видом взломанных легальных приложений.


Обновлено (18.04.2014 16:58)