«Маковый» троянец маскируется под Flash Player

Список зловредов, заточенных под OS X, пополнился еще одним творением вирусописателей, копирующим трюки своих Windows-собратьев. Эксперты Intego, обнаружившие этого троянца, нарекли его Flashback ― от Flash Player, за который он себя выдает. Не исключено также, что «крестные отцы» просто хотели подчеркнуть тривиальность социально-инженерной уловки, которую использовали злоумышленники: один из вариантов перевода «flashback» ― «возвращение к прошлому».

Новый троянец, который в ЛК детектируется как Trojan-Downloader.OSX.Flashfake.a, пока однократно замечен itw ― его скачал из интернета один из легкомысленных поклонников Mac OS X. Всегда есть вероятность, что, обнаружив в Сети недоступный видеоролик, для активации которого предлагается обновить Flash Player, пользователь бездумно воспользуется ссылкой или иконкой, услужливо проставленной на зловредной странице. Если он при этом использует Safari с дефолтными настройками, троянский инсталлятор с безобидным расширением вроде .pkg или .mpkg будет запущен сразу после загрузки.

Для начала Flashback попытается отключить наличные средства мониторинга сетевой активности, в первую очередь Little Snitch. Затем он устанавливает динамический загрузчик dyld, а в домашнюю папку ― бэкдор (~/Library/Preferences/Preferences.dylib). Последний подключается к командному серверу и передает информацию о зараженной машине: версию OS X, архитектуру процессора (Intel или PowerPC) и т.п. В качестве опознавательного знака резидентный зловред использует хэшированный по MD5 идентификатор компьютера (UUID). Служебный трафик Flashback шифрует по алгоритму RC4.

По словам исследователей, в функционал нового бэкдора входит также загрузка других вредоносных файлов и проверка наличия обновлений. В последнем случае резидентный Flashback создает свой Sha1-хэш и периодически проверяет его на соответствие текущей версии, обращаясь к C&C-серверу. Если хэш-коды не совпадают, значит, настало время получить обновление.