Троян перехватывает контроль над камерой Mac и отправляет изображение в сеть Tor
Программа-вредитель OSX/Eleanor-A выдает себя за утилиту EasyDoc Converter и подключает Mac к анонимной сети Tor, через которую хакер может полностью контролировать компьютер, включая встроенную веб-камеру.
Как сообщает Cnews, операционная система компьютеров Mac столкнулась с серьезным врагом - вредоносной программой OSX/Eleanor-A. Программа выдает себя за утилиту EasyDoc Converter, предназначенную для конвертации под Mac файлов Windows.
Эту утилиту можно найти на сайтах в Интернете, однако она не проверялась Apple и не имеет их цифровой подписи. Чтобы упаковать себя под EasyDoc Converter, вредоносная программа использует бесплатный инструмент Platypus.
OSX/Eleanor-A создает скрытую папку в фоновом режиме. После того, как сам вредитель уже выявлен и удален, эта папка остается на компьютере. Ее содержимое - различные фолдеры и скрипты, которые по отдельности выглядят как инструменты, имеющиеся в свободном доступе. Из этих вроде бы безобидных компонентов OSX/Eleanor-A при помощи системных утилит собирает опасную конфигурацию OS X LaunchAgents. Загрузка OS X LaunchAgents тоже происходит в фоновом режиме, поэтому пользователь может ее проигнорировать или вообще не заметить. Никаких прав администратора на запуск система не запрашивает.
После установки на компьютере начинают действовать три фоновых программы. Одна подключает Mac к анонимной сети Tor, делая компьютер видимым в «глубоком» интернете. Этот скрытый сервис соединяет ПК с локальным сервером, который действует как C&C-центр. Tor также устанавливает связь с криптографическим сервисом SSH, с которого компьютер можно достать даже за фаерволом. Параллельно этому действует вторая фоновая программа - PHP-скрипт, открывающий доступ к файлам через браузер.
Вместе эти две программы полностью передают Mac под контроль злоумышленника. Ему достаточно знать лишь имя скрытого сервиса, уникальное для зараженного компьютера. Чтобы его выяснить, нужна третья программа, которая загружает произвольное 16-значное имя в профиль Pastebin. Открыв преступнику доступ к вашим файлам, программа автоматически удаляется.
Что OSX/Eleanor-A делает с компьютером
Одна из интереснейших обнаруженных функций трояна - это перехват им контроля над iSight - встроенной камерой компьютеров Mac.
Доступ к веб-камере позволяет OSX/Eleanor-A круглосуточно наблюдать за пользователем. За пересылку данных на компьютер хакера отвечает утилита Netcat, за работу с веб-камерой - компонент Wacaw.
Работу со снимками, скрыто сделанными камерой, облегчает программа просмотра изображений, написанная на PHP. Как полагают эксперты из Bitdefender, изучающие проблему, отследить, куда отправляются данные, невозможно.