«Доктор Веб» предупредил об опасном бэкдоре для Mac

Специалисты Dr.Web обнаружили троянца для операционной системы macOS, способного выполнять поступающие от злоумышленников команды. Бэкдор был добавлен в вирусные базы компании под именем Mac.BackDoor.Systemd.1.

В момент запуск зловред выводит в консоль сообщение с опечаткой «This file is corrupted and connot be opened» и перезапускает себя в качестве демона с именем systemd. При этом Mac.BackDoor.Systemd.1 пытается скрыть собственный файл, установив для него соответствующие флаги. Затем троянец регистрирует себя в автозагрузке, для чего создает файл с командами sh и файл.plist.

Зашифрованная конфигурационная информация хранится в самом файле троянца. В зависимости от нее Mac.BackDoor.Systemd.1 либо сам устанавливает связь с управляющим сервером, либо ожидает входящего запроса на соединение.

После установки связи бэкдор выполняет поступающие команды и периодически отсылает злоумышленникам следующую информацию:

• наименование и версия операционной системы;
• имя пользователя;
• наличие у пользователя привилегии администратора (root);
• MAC-адреса всех доступных сетевых интерфейсов;
• IP-адреса всех доступных сетевых интерфейсов;
• внешний IP-адрес;
• тип процессора;
• объем оперативной памяти;
• данные о версии вредоносной программы и ее конфигурации.

Троянец имеет собственный файловый менеджер, с использованием которого киберпреступники могут выполнять различные действия с файлами и папками на зараженном компьютере.

Бэкдор способен выполнять следующие команды:

• получить список содержимого заданной директории;
• прочитать файл;
• записать в файл;
• получить содержимое файла;
• удалить файл или папку;
• переименовать файл или папку;
• изменить права для файла или папки (команда chmod);
• изменить владельца файлового объекта (команда chown);
• создать папку;
• выполнить команду в оболочке bash;
• обновить троянца;
• переустановить троянца;
• сменить IP-адрес управляющего сервера;
• установить плагин.

В компании отметили, что Mac.BackDoor.Systemd.1 обнаруживается и удаляется продуктами Dr.Web. Специалисты порекомендовали установить их антивирус для Mac.