Grupa hakerów, o których wiadomo, że byli architektami różnych ataków w przeszłości przeciwko amerykańskiej bazie przemysłu obronnego., a także inne ważne firmy z sektora, niedawno zaczęły używać programu zawierającego backdoora do atakowania systemów z systemem OS X.
Badacze bezpieczeństwa FireEye już skomentowali to na blogu w czwartek kod backdoora został przeniesiony na OS X z backdoora systemu Windows, który był szeroko stosowany w atakach ukierunkowanych w ciągu ostatnich kilku lat, a jednocześnie był wielokrotnie aktualizowany.
Szkodliwy program nosi nazwę XSLCmd i jest w stanie otworzyć odwrotną powłokę w celu kontroli plików i przesyłania, a także instalacji innych złośliwych programów na zainfekowanym komputerze. Wariant OS X może również zarejestrować naciśnięcia klawiszy i zrzuty ekranu, według badaczy FireEye.
Po zainstalowaniu na komputerze Mac, to złośliwe oprogramowanie instaluje się w »/ Library / Logs / clipboardd» i »HOME / Library / LaunchAgents / clipboardd«. Tworzy również plik com.apple.service.clipboardd.plist, aby zapewnić jego działanie po ponownym uruchomieniu systemu. Złośliwe oprogramowanie zawiera kod, który sprawdza wersję OS X, ale nie wersje powyżej OS X 10.8 (Mountain Lion). Sugeruje to, że wersja 10.8 była albo ostatnią wersją OS X, kiedy program został napisany, albo przynajmniej najpopularniejszą wersją używaną do zamierzonych celów.
Backdoor XSLCmd został stworzony i używany przez grupę cyberszpiegowską działa od co najmniej 2009 roku i został nazwany GREF przez badaczy FireEye. „W przeszłości GREF przewodził wielu organizacjom, w tym Amerykańskiej Bazie Przemysłu Obronnego (DIB), firmom elektronicznym i inżynieryjnym na całym świecie, a także fundacjom i innym organizacjom pozarządowym, zwłaszcza zainteresowanym w Azji.” .
Według FireEye:
OS X zyskał popularność wśród firm, a niedoświadczeni użytkownicy szybko dostosowują się do nowego systemu i uważają go za łatwy w obsłudze, nawet użytkownicy zaawansowanych technologii korzystający z bardziej zaawansowanych funkcji, a także kadra kierownicza […] Wiele osób uważa go również za bardziej bezpieczną platformę obliczeniową, która może prowadzić do niebezpiecznego poczucia samozadowolenia w obu działach IT. W rzeczywistości, chociaż branża bezpieczeństwa zaczęła oferować więcej produktów dla systemów OS X, systemy te są czasami mniej regulowane i nadzorowane w środowiskach korporacyjnych niż ich odpowiedniki Windows.