קבוצת האקרים שידוע היה שהם אדריכלי התקפות שונות בעבר נגד בסיס התעשייה להגנה של ארה"ב., כמו גם חברות חשובות אחרות בתחום, החלו לאחרונה להשתמש בתוכנית הכוללת דלת אחורית לתקיפת מערכות עם OS X.
חוקרי האבטחה של FireEye כבר הגיבו ביום חמישי בבלוג קוד הדלת האחורית הועבר ל- OS X מדלת אחורית של Windows ששימשה רבות בהתקפות ממוקדות בשנים האחרונות, לאחר שעודכנה פעמים רבות בתהליך.
התוכנית הזדונית מכונה XSLCmd ומסוגלת לפתוח מעטפת הפוכה לשליטה והעברת קבצים, כמו גם להתקנת תוכניות זדוניות אחרות במחשב הנגוע. גרסת OS X יכולה גם להירשם הקשות ותמונות מסך, על פי חוקרי FireEye.
כאשר היא מותקנת ב- Mac, תוכנה זדונית זו מתקינה את עצמה ב »/ Library / Logs / clipboardd» ו- »HOME / Library / LaunchAgents / clipboardd«. זה גם יוצר קובץ com.apple.service.clipboardd.plist כדי להבטיח שהוא פועל לאחר הפעלת המערכת מחדש. התוכנה הזדונית מכילה קוד הבודק את גרסת OS X, אך לא גרסאות מעל OS X 10.8 (Mountain Lion). זה מצביע על כך שגירסה 10.8 הייתה הגרסה האחרונה של OS X בעת כתיבת התוכנית או לפחות הנפוצה ביותר ששימשה למטרותיה המיועדות.
הדלת האחורית של XSLCmd נוצרה ושימשה קבוצת ריגול סייבר שהייתה פועל מאז 2009 לפחות וזכה לכינוי GREF על ידי חוקרי FireEye. "מבחינה היסטורית, GREF הובילה מגוון רחב של ארגונים, כולל בסיס התעשייה האמריקני להגנה (DIB), חברות אלקטרוניקה והנדסה ברחבי העולם, כמו גם קרנות וארגונים לא ממשלתיים אחרים, במיוחד בעלי אינטרסים באסיה.» .
על פי FireEye:
OS X צבר פופולריות בקרב עסקים, כאשר משתמשים חסרי ניסיון הסתגלו במהירות למערכת החדשה וקלו לתפעול, אפילו משתמשי היי-טק המשתמשים בתכונות חזקות יותר, כמו גם מנהלים [...] אנשים רבים רואים בכך גם יותר פלטפורמת מחשוב מאובטחת, שעלולה להוביל לתחושת שאננות מסוכנת בשתי מחלקות ה- IT. למעשה, בעוד שתעשיית האבטחה החלה להציע יותר מוצרים למערכות OS X, לפעמים מערכות אלה פחות מוסדרות ומפוקחות בסביבות ארגוניות מאשר עמיתיהן ל- Windows.
