Um grupo de hackers conhecido por ter sido o arquiteto de vários ataques no passado contra a Base Industrial de Defesa dos EUA., assim como outras empresas importantes do setor, começou recentemente a usar um programa que inclui um backdoor para atacar sistemas com OS X.
Os pesquisadores de segurança da FireEye já comentaram em um blog na quinta-feira que o código backdoor foi portado para OS X de um backdoor do Windows que foi amplamente usado em ataques direcionados nos últimos anos, tendo sido atualizado muitas vezes no processo.
O programa malicioso é apelidado de XSLCmd e é capaz de abrir um shell reverso para controle e transferência de arquivos, bem como a instalação de outros programas maliciosos no computador infectado. A variante OS X também pode registrar pressionamentos de tecla e capturas de tela, de acordo com pesquisadores da FireEye.
Quando instalado em um Mac, este malware se instala em »/ Library / Logs / clipboardd» e »HOME / Library / LaunchAgents / clipboardd«. Ele também cria um arquivo com.apple.service.clipboardd.plist para garantir que ele seja executado após a reinicialização do sistema. O malware contém código que verifica a versão do OS X, mas não as versões acima do OS X 10.8 (Mountain Lion). Isso sugere que a versão 10.8 era a última versão do OS X quando o programa foi escrito ou pelo menos a mais comum usada para os fins pretendidos.
O backdoor XSLCmd foi criado e usado por um grupo de espionagem cibernética que foi operando desde pelo menos 2009 e foi apelidado de GREF pelos pesquisadores da FireEye. “Historicamente, o GREF liderou uma ampla gama de organizações, incluindo a Base Industrial de Defesa dos Estados Unidos (DIB), empresas de eletrônica e engenharia em todo o mundo, bem como fundações e outras organizações não governamentais, especialmente aquelas com interesses na Ásia.» .
De acordo com FireEye:
O OS X ganhou popularidade entre as empresas, com usuários inexperientes se adaptando rapidamente ao novo sistema e achando-o fácil de operar, até mesmo usuários de alta tecnologia usando recursos mais poderosos, bem como executivos [...] Muitas pessoas também consideram que é um mais plataforma de computação segura, o que pode levar a uma perigosa sensação de complacência em ambos os departamentos de TI. Na verdade, embora a indústria de segurança tenha começado a oferecer mais produtos para sistemas OS X, esses sistemas às vezes são menos regulamentados e monitorados em ambientes corporativos do que seus equivalentes Windows.
