• Home
  • Technologie
    • Bezpieczeństwo
    • Sprzęt
    • Oprogramowanie
    • Mobile
  • Kryptowaluty
  • Marketing
    • Reklama
    • Social Media
  • Finanse
  • Felietony
  • [IP]
  • Kontakt
    • Reklama w OSnews
    • Pakiet Public Relations
    • Content Marketing w OSnews
OSnews.pl
OSnews.pl
  • Home
  • Technologie
    • Bezpieczeństwo
      Prawda czy fikcja? Popularny były haker twierdzi, że ma 7 miliardów dolarów w BTC

      Prawda czy fikcja? Popularny były haker twierdzi, że ma 7 miliardów dolarów w BTC

      Certyfikat SSL, a hosting – dlaczego warto poszukać serwera z darmowymi certyfikatami?

      Certyfikat SSL, a hosting – dlaczego warto poszukać serwera z darmowymi certyfikatami?

      75-latek dorabiał do emerytury na szyfrowaniu cudzych danych

      75-latek dorabiał do emerytury na szyfrowaniu cudzych danych

      Ujawniono najczęściej używane hasła w 2016 roku

      Ujawniono najczęściej używane hasła w 2016 roku

    • Sprzęt
      Tanie laptopy poleasingowe – czym się charakteryzują i co je różni od nowego sprzętu z marketu?

      Tanie laptopy poleasingowe – czym się charakteryzują i co je różni od nowego sprzętu z marketu?

      Jaki tablet dla dziecka?

      Jaki tablet dla dziecka?

      Pancerne laptopy – sprzęt, który sprawdza się w każdych warunkach

      Pancerne laptopy – sprzęt, który sprawdza się w każdych warunkach

      Zadbaj o swój kręgosłup i spraw sobie wygodne krzesło biurowe

      Zadbaj o swój kręgosłup i spraw sobie wygodne krzesło biurowe

    • Oprogramowanie
      Jak zrobić dobrze wyglądające wideo nawet jeśli nie jesteś profesjonalistą

      Jak zrobić dobrze wyglądające wideo nawet jeśli nie jesteś profesjonalistą

      Ta firma potrafi śledzić ruch przy pomocu dźwięku zamiast światła

      Ta firma potrafi śledzić ruch przy pomocu dźwięku zamiast światła

      Dzięki Google nasze smartfony będą na tyle inteligentne, że będą rozpoznawać ludzi i przedmioty w filmach wideo

      Dzięki Google nasze smartfony będą na tyle inteligentne, że będą rozpoznawać ludzi i przedmioty w filmach wideo

      Tłumacz Google wspomagany sztuczną inteligencją działa z trzema nowymi językami

      Tłumacz Google wspomagany sztuczną inteligencją działa z trzema nowymi językami

    • Mobile
      Prawdziwie multimedialny Samsung Galaxy A5 (2017)

      Prawdziwie multimedialny Samsung Galaxy A5 (2017)

      LTE w smartfonie - nie tylko do social media

      LTE w smartfonie - nie tylko do social media

      Nadchodzące premiery smartfonów - Samsung Galaxy S9, LG G7 i inne

      Nadchodzące premiery smartfonów - Samsung Galaxy S9, LG G7 i inne

      Kupujemy smartfon. O czym pamiętać?

      Kupujemy smartfon. O czym pamiętać?

  • Kryptowaluty
  • Marketing
    • Reklama
    • Social Media
  • Finanse
  • Felietony
  • [IP]
  • Kontakt
    • Reklama w OSnews
    • Pakiet Public Relations
    • Content Marketing w OSnews
  • Follow
    • Facebook
    • Twitter
    • RSS
[IP]: Powrót niebezpiecznego Trojana dla Mac OS X
Home
Technologie
Bezpieczeństwo

[IP]: Powrót niebezpiecznego Trojana dla Mac OS X

osnews Bezpieczeństwo, Internet, Technologie 1 comments

Ten złośliwy program został stworzony do szpiegowania użytkowników komputerów Mac: potrafi zbierać i przesyłać do atakujących informacje o ładowanych stronach www, analizować przepływ ruchu przez kartę sieciową komputera, przechwytywać pakiety sieciowe wysyłane przez komunikatory i wykonywać inne złośliwe funkcje.

Programy Mac.BackDoor.OpinionSpy są znane ekspertom d/s bezpieczeństwa informacji od 2010 roku, ale nowa wersja tego malware trafiła ostatnio do laboratorium antywirusowego Doctor Web. Nazwano ją Mac.BackDoor.OpinionSpy.3.

Do rozpowszechniania się Mac.BackDoor.OpinionSpy.3 używa trzyetapowego schematu działań. Na różnych stronach www oferujących różne rodzaje oprogramowania dla Mac OS X, użytkownik znajduje pozornie nieszkodliwe programy. Zawierają one jednak w swoich dystrybucjach pliki typu postinstall uruchamiane pod koniec instalacji. Jeśli podczas instalacji takiej, pobranej wcześniej aplikacji, użytkownik zgodzi się na zapewnienie jej uprawnień administratora, proces postinstall wysyła do serwera intruzów serię żądań typu POST i w odpowiedzi otrzymuje link do pobrania pakietu z rozszerzeniem .osa, zawierającego archiwum ZIP. Postinstall rozpakowuje archiwum, wyodrębnia plik wykonywalny nazwany PremierOpinion i plik XML zawierający wymagane do tej operacji dane konfiguracyjne, a następnie uruchamia program.

Po uruchomieniu się na komputerze będącym celem ataku PremierOpinion podłącza się także do serwera kontrolno-zarządzającego i otrzymuje link do pobrania innego pakietu .osa, z którego jest rozpakowywana i instalowana kompletna aplikacja o tej samej nazwie – PremierOpinion. Ta aplikacja zawiera kilka plików wykonywalnych: program PremierOpinion, który nie zawiera żadnych złośliwych funkcji i backdoor PremierOpinionD, który wprowadza niebezpieczne funkcjonalności wymierzone w użytkownika systemu Mac OS X.

Trojan podczas instalacji pozyskuje prawa administracyjne i działa w systemie z uprawnieniami administratora. Jeśli na samym początku użytkownik wybierze “I Disagree” („Nie zgadzam się”) w okienku dialogowym instalatora, pobrany przez niego z Internetu program zostanie zainstalowany na komputerze bez żadnych dodatkowych komponentów szpiegujących:

1

Jeśli użytkownik wybierze “I Agree” („Zgadzam się”), PremierOpinion zostanie zainstalowany na komputerze jako dodatek do pobranej aplikacji. Jego ikona pojawi się na pasku zarządzającym i na liście zainstalowanych aplikacji:

 2

Jego interfejs jest bardzo skromny:

3

Klikając ikonę aplikacji na pasku zarządzającym, użytkownik uruchomi przeglądarkę z załadowaną stroną zawierającą opis PremierOpinion, prezentujący go jako narzędzie do badań marketingowych. Jednakże twórca strony w żaden sposób nie zgłasza na niej faktu zbierania i przesyłania przez nią na zdalny serwer informacji o komputerach Apple z tym uruchomionym programem.

4

Twórcy programu utrzymują, że PremierOpinion tylko monitoruje historię zakupów użytkownika i, od czasu do czasu, oferuje wzięcie udziału w badaniach marketingowych prosząc o udzielenie odpowiedzi na kilka pytań w specjalnym formularzu. W praktyce funkcjonalności Mac.BackDoor.OpinionSpy.3 są znacznie szersze i są definiowane przez pliki konfiguracyjne otrzymane z serwera kontrolno-zarządzającego. Trojan instaluje się w katalogu /Library/LaunchDaemons/, dzięki temu uruchamia się automatycznie, gdy przerwie swoje działanie na skutek błędu lub przy restarcie systemu operacyjnego. Następnie Mac.BackDoor.OpinionSpy.3 instaluje specjalne rozszerzenie, które śledzi aktywność użytkownika w przeglądarkach Google Chrome i Mozilla Firefox i wysyła na serwer kontrolno-zarządzający wszystkie informacje na temat odwiedzonych stron www (dane są zbierane na podstawie określonego zestawu reguł), otwartych tabel i klikniętych linków. Oprócz tego Mac.BackDoor.OpinionSpy.3 wstrzykuje swoją własną bibliotekę w procesy przeglądarki i aplikacji iChat, aby przechwycić kilka funkcji sieciowych. Monitoruje również ruch przesyłany przez kartę sieciową komputera Apple. Pakiety HTTP, ruch pochodzący z komunikatorów (takich jak Microsoft Messenger, Yahoo! Messenger, AIM, iChat) i ruch RTMP są śledzone na wszystkich dostępnych interfejsach Ethernet komputera. Z użyciem jednego ze swoich modułów Trojan potrafi skanować dysk twardy i wszystkie inne nośniki podmontowane w systemie, wyszukiwać pliki odpowiadające regułom zadanym przez twórców wirusa i wysyłać te pliki na zdalny serwer. Poza tym Trojan wysyła do atakujących informacje o zainfekowanym komputerze, włączając informacje o konfiguracji sprzętowej, liście uruchomionych procesów i tak dalej. Trojan jest w stanie instalować swoje własne aktualizacje bez interwencji użytkownika, pobierając je z serwera kontrolno-zarządzającego. Warto zauważyć, że Mac.BackDoor.OpinionSpy.3 zakłóca pracę modułu lokalizacyjnego przeglądarki Safari:

5

Podczas wymiany informacji z serwerem kontrolno-zarządzającym Trojan szyfruje niektóre dane i jednocześnie przesyła niektóre z nich otwartym tekstem. Między innymi Mac.BackDoor.OpinionSpy.3 potrafi pozyskiwać i wysyłać przestępcom informacje o plikach i strumieniach wideo oglądanych przez użytkownika.

Sygnatura tego malware została dodana do bazy wirusów Dr.Web. Ostrzegamy jednak użytkowników komputerów z systemem Mac OS X i zalecamy zwracanie uwagi na aplikacje pobierane z Internetu.

Informacja prasowa/Doctor Web

  • Tags
  • bezpieczeństwo
  • internet
  • prywatność
Facebook Twitter Google+ LinkedIn Pinterest
Następny wpis [IP]: Niszczenie nośników informacji
Poprzedni wpis Jedna platforma dla wszystkich Windowsów

Warto przeczytać

Najlepszy Internet w Gdańsku? Jak wybrać dobrą ofertę Technologie

Najlepszy Internet w Gdańsku? Jak wybrać dobrą ofertę

Coraz więcej cyberataków dotyczy firm produkcyjnych Technologie

Coraz więcej cyberataków dotyczy firm produkcyjnych

Szybki internet domowy – niezbędne narzędzie w dobie pracy zdalnej Technologie

Szybki internet domowy – niezbędne narzędzie w dobie pracy zdalnej

Tagi

android apple bezpieczeństwo biznes cenzura Debian edukacja facebook Firefox firma google gry hardware imprezy intel internet iphone kaspersky KDE kraj Laptopy Linux media microsoft mobile mozilla open-source oprogramowanie piractwo prawo press-release programowanie prywatność reklama Samsung smartfon Smartfony software standardy Ubuntu UNIX usa windows Wydania Wydarzenia

O blogu



OSNews to serwis poświęcony nowym technologiom oraz ich roli we współczesnym biznesie. Opowiadamy o przydatnych usługach, zmianach na rynku oraz najnowszym oprogramowaniu, które ułatwi Tobie pracę.
  • Home
  • Technologie
  • Kryptowaluty
  • Marketing
  • Finanse
  • Felietony
  • [IP]
  • Kontakt
  • Back to top

Meta

  • Zaloguj się
  • Kanał wpisów
  • Kanał komentarzy
  • WordPress.org

Kontakt

Masz jakieś pytania? Chcesz podzielić się swoimi uwagami na temat serwisu? Nie ma sprawy, po prostu napisz do nas maila.

OSNews.pl
Conrada 30
01-920 Warszawa
redakcja@osnews.pl
© OSnews.pl 2016-2023. All rights reserved.