Антивирусная компания Intego сообщила об обнаружении нового вредоносного программного обеспечения, ориентированного на Mac, сообщает Cybersecurity. Новый вирус уже успел заразить компьютеры сотрудников Apple, Facebook, Twitter, а также ряда других, в том числе и правительственных, американских организаций. Среди пострадавших от нового «в
Троян Pintsized.A представляет собой новый класс компьютерных угроз, использующих ранее неизвестную уязвимость во встроенном в Mac OS X средстве безопасности Gatekeeper. Изначально Gatekeeper предназначен для контроля устанавливаемых программ и блокировки файловой системы от несанкционированной инсталляции ПО. Однако «зловред» успешно маскируется под программное обеспечение CUPS, применяемое в Linux и Mac для управления печатью документов. При этом, внимательный Mac-пользователь может обратить внимание, что псевдо-CUPS пытается установиться в папку, которая не имеет никакого отношения к легитимному CUPS.
После установки в систему Pintsized.A открывает сетевой канал для общения с удаленным командным сервером, контролируемым злоумышленниками. Для введения в заблуждение «вредонос» использует модифицированную версию утилиты OpenSSH, причем сам шифрует свои данные при помощи SSH, что усложняет его обнаружение.
Известно, что сейчас большая часть копий Pintsized.A обращается к серверу по адресу corp-aapl.com. В Intego говорят, что сетевые инженеры Facebook выявили подозрительный трафик в отношении данного ресурса со стороны внутренней сети компании. Похожая ситуация была в Twitter и Apple.
Троян Pintsized.A представляет собой новый класс компьютерных угроз, использующих ранее неизвестную уязвимость во встроенном в Mac OS X средстве безопасности Gatekeeper. Изначально Gatekeeper предназначен для контроля устанавливаемых программ и блокировки файловой системы от несанкционированной инсталляции ПО. Однако «зловред» успешно маскируется под программное обеспечение CUPS, применяемое в Linux и Mac для управления печатью документов. При этом, внимательный Mac-пользователь может обратить внимание, что псевдо-CUPS пытается установиться в папку, которая не имеет никакого отношения к легитимному CUPS.
После установки в систему Pintsized.A открывает сетевой канал для общения с удаленным командным сервером, контролируемым злоумышленниками. Для введения в заблуждение «вредонос» использует модифицированную версию утилиты OpenSSH, причем сам шифрует свои данные при помощи SSH, что усложняет его обнаружение.
Известно, что сейчас большая часть копий Pintsized.A обращается к серверу по адресу corp-aapl.com. В Intego говорят, что сетевые инженеры Facebook выявили подозрительный трафик в отношении данного ресурса со стороны внутренней сети компании. Похожая ситуация была в Twitter и Apple.
Комментариев нет:
Отправить комментарий