Группа хакеров, которые, как известно, в прошлом были архитекторами различных атак. против оборонно-промышленной базы США., а также другие важные компании в этом секторе недавно начали использовать программу, которая включает бэкдор для атаки на системы с OS X.
Исследователи безопасности FireEye уже прокомментировали в блоге в четверг, что код бэкдора был перенесен на OS X из бэкдора Windows, который широко использовался в целевых атаках в течение последних нескольких лет и многократно обновлялся в процессе.
Вредоносная программа называется XSLCmd и способна открывать обратную оболочку для управления файлами и их передачи, а также устанавливать другие вредоносные программы на зараженный компьютер. Вариант OS X также может регистрировать нажатия клавиш и скриншоты, по мнению исследователей FireEye.
При установке на Mac это вредоносное ПО устанавливается в »/ Library / Logs / clipboardd» и »HOME / Library / LaunchAgents / clipboardd«. Он также создает файл com.apple.service.clipboardd.plist, чтобы гарантировать его запуск после перезагрузки системы. Вредоносная программа содержит код, который проверяет версию OS X, но не версии выше OS X 10.8 (Mountain Lion). Это говорит о том, что версия 10.8 была либо последней версией OS X, когда программа была написана, либо, по крайней мере, самой распространенной версией, используемой по назначению.
Бэкдор XSLCmd был создан и использовался кибершпионажной группой, которая была работает как минимум с 2009 года и был назван исследователями FireEye GREF. «Исторически GREF возглавлял широкий круг организаций, включая оборонно-промышленную базу США (DIB), электронные и инженерные компании по всему миру, а также фонды и другие неправительственные организации, особенно те, которые имеют интересы в Азии». .
Согласно FireEye:
OS X приобрела популярность среди предприятий, поскольку неопытные пользователи быстро адаптируются к новой системе и находят ее простой в эксплуатации, даже высокотехнологичные пользователи, использующие более мощные функции, а также руководители […] Многие люди также считают, что это более безопасная вычислительная платформа, которая может вызвать опасное чувство самоуспокоенности у обоих ИТ-отделов. Фактически, хотя индустрия безопасности начала предлагать больше продуктов для систем OS X, эти системы иногда менее регулируются и контролируются в корпоративных средах, чем их аналоги в Windows.
