Корпорация Symantec обнаружила новый вид угрозы OSX.Macontrol, который распространяется через целевые рассылки. Бинарный файл [md5 - e88027e4bfc69b9d29caef6bae0238e8] отличается небольшим размером (75 Кб) и лишь немногим превосходит функциональность бэкдора для удаленного хоста (61.178.77.16x). Веб-сервер относится к категории HTTP-command-and-control, он собирает и модифицирует системные настройки жертв. В то же время протокол HTTP позволяет атакующему остаться не обнаруженным за счет использования команд, кажущихся чистым веб-трафиком.
Эксперты считают, что для пользователей заражение OSX.Macontrol чревато целым рядом проблем. В частности, вирус может собирать информацию со взломанного компьютера, отправляя ее на удаленный хост; пересылать список процессов со взломанного ПК на удаленный сервер, завершать какие-либо процессы или саботировать их запуск, удалять различные файлы, а также переводить компьютер в режим сна, перезагружать или выключать его. Во время проведения исследования специалисты Symantec заметили активность IP-адреса 61.178.77.16x, начавшуюся в феврале 2012 года, когда различные версии вредоносного ПО стали приходить с этого диапазона адресов. По мнению экспертов, этот IP-адрес рассылает вредоносное ПО не только для Mac, но и для Windows.
По мнению антивирусных экспертов, регулярно появляющиеся угрозы лишний раз подчеркивают неверность суждений об абсолютной безопасности платформы Mac OS. "Все учащающиеся случаи атак, направленных на пользователей устройств Apple, говорят о необходимости защитных средств, но, увы, многие пользователи до сих пор остаются беспечными", - посетовал эксперт по информационной безопасности Symantec Андрей Зеренков. ""Фраза "Вирусов под Mac не бывает" стала одной из самых расхожих со времен рекламы 2006 года о "больном" ПК и "здоровом" Mac, - считает руководитель центра глобальных исследований и анализа угроз "Лаборатории Касперского" Костин Райю, - Прошло 6 лет, и ситуация изменилась кардинально".
По словам Райю, сейчас по всему миру насчитывается более 100 миллионов пользователей Mac OS X и их число постоянно растет. "По данным, собранным "Лабораторией Касперского", в начале апреля насчитывалось почти 700 000 зараженных троянцем компьютеров — хотя возможно, что на самом деле их было еще больше", - заявил Райю.
С iPad и iPhone дело, по мнению ведущего антивирусного эксперта "Лаборатории Касперского" Дениса Масленникова, обстоит несколько лучше. Однако эксперт отметил, что в случае "джейлбрейка" риск подхватить вирус на смартфон увеличивается. "А вот если телефон не взламывать и ставить только приложения из AppStore, вероятность подцепить "заразу" весьма невелика. Apple тщательно проверяет приложения в своем онлайн-магазине, делает это долго", - уверен Масленников. Однако он напомнил, что 5 июля произошло знаковое событие в антивирусном мире: эксперты "Лаборатории Касперского" обнаружили вредоносное приложение "Find and Call", которое до вечера 5 июля было доступно для скачивания и в App Store, и в Google Play.
Андрей Зеренков уверен, что, несмотря на относительную закрытость платформы iOS, при определённых условиях iOS ждет то же самое, что и Android. "Наиболее вероятным сценарием является введение пользователей в заблуждение с целью скачивания и установки приложения, включающего в себя вредоносный код", - пояснил он. По его словам, пока специалистам неизвестны случаи атак каким-либо другим способом. "Но нельзя полностью исключить возможность их появления: год от года атаки становятся все более изощренными, ведь хакеры пытаются обойти новые средства защиты платформ", - подчеркнул эксперт.
Комментарии