Пореден „бекдор” атакува Mac компютрите

[HITMAN]

Появата на SabPub показва, че няма неуязвими платформи

Пореден вирус за Mac OS X компютри засече Лаборатория Касперски. Backdoor.OSX.SabPub.a използва уязвимост в операционната система на Apple, за да извършва целеви атаки от типа Advanced Persistent Threat.

Вирусът, открит в началото на април, съдържа функции на „бекдор”, т.е. дава възможност на атакуващите за скрит достъп до компютъра и управлението му.

В момента броят на заразените с Backdoor.OSX.SabPub.a все още е малък, което потвърждава мнението на специалистите, че вирусът се използва само за таргетирани атаки.

След активация на зловредния код, инфектираната машина се свързва към специален сървър, от който получава инструкции. Командният център на SabPub се намира в САЩ и използва безплатна DNS услуга за пренасочване на заявките от заразените компютри.

Установени са редица действия на кибер престъпниците, откакто е открит вирусът. SabPub за пореден път доказва, че няма неуязвими платформи. Сравнително малкият брой зловредни програми за Mac OS X не означава по-добра защитеност, коментират от Лаборатория Касперски.

Наскоро нашумя троянецът Flashfake, с чиято помощ беше създаден ботнет от над 700 000 компютъра с Mac OS X. Появата и на SabPub показва, че кибер престъпниците реагират на нарастващия дял на епълските компютри.

Източник: http://www.technews.bg/article-25836.html

Sent from my iPad using Tapatalk

[Alxx®]

http://www.securelis...ssible_APT_link

Raiu also reported that the malware appears to be spreading through Word documents that exploit the CVE-2009-0563 vulnerability related to a stack-based buffer overflow in Office on the Mac.

"The most interesting thing here is the history of the second SabPub variant. In our virus collection, it is named '8958.doc.'" Raiu wrote on the blog. "This suggests it was extracted from a Word document or was distributed as a Doc file."

The new version of the Trojan uses malformed Word documents to open a backdoor for remote hackers to steal information or install further code. Just like many recent variants of Mac-specific Trojans, OS X users may be caught off guard as there is no prompt to enter your username or password when the malicious software installs itself onto your Mac.

The first part no longer applies. Updating or uninstalling Java will not do you any good. Instead, you’ll need to update Microsoft Office 2004 for Mac and Microsoft Office 2008 for Mac. Thankfully, this security vulnerability is from June 2009, so if you keep your Microsoft software patched, you should be good to go. The last parts still apply.

The Trojan may have been created on March 16, 2012. It was compiled with debug information, meaning analyzing it wasn’t hard, but more importantly this seems to suggest it is not the final version. You can check for infection by looking for the following files:

/Library/Preferences/com.apple.PubSabAgent.pfile

/Library/LaunchAgents/com.apple.PubSabAGent.plist

The Java exploits appear to be pretty standard, but have been obfuscated using ZelixKlassMaster to avoid detection by anti-malware products. The low number of infections and its backdoor functionality indicates that it is most likely used in targeted attacks.

The good news is this means that this Trojan is not believed to be anything as widespread as Flashback, and if you’ve downloaded and installed the latest software updates from Apple that patch the Java vulnerabilities (or disabled Java), you’re safe. The bad news is these Trojans will just keep coming, likely at an increasing rate.