Новый троян перехватывает контроль над камерой Mac и отправляет видео в сеть Tor

Безопасность Стратегия безопасности Пользователю Новости поставщиков Техника
мобильная версия
, Текст: Валерия Шмырова
Программа-вредитель OSX/Eleanor-A выдает себя за утилиту EasyDoc Converter и подключает Mac к анонимной сети Tor, через которую хакер может полностью контролировать компьютер, включая встроенную веб-камеру.

Программа-вредитель под видом популярной утилиты

Операционная система компьютеров Mac, привыкшая к относительной безопасности, столкнулась с серьезным врагом – вредоносной программой OSX/Eleanor-A. Программа выдает себя за утилиту EasyDoc Converter, предназначенную для конвертации под Mac файлов Windows.

Эту утилиту можно найти на достойных доверия сайтах, однако она не проверялась Apple и не имеет их цифровой подписи. Чтобы упаковать себя под EasyDoc Converter, вредоносная программа использует бесплатный инструмент Platypus.

Как работает троян Eleanor

В фоновом режиме OSX/Eleanor-A создает скрытую папку. После того, как сам вредитель уже выявлен и удален, эта папка остается на компьютере. Ее содержимое – различные фолдеры и скрипты, которые по отдельности выглядят как инструменты, имеющиеся в свободном доступе. Из этих вроде бы безобидных компонентов OSX/Eleanor-A при помощи системных утилит собирает опасную конфигурацию OS X LaunchAgents. Загрузка OS X LaunchAgents тоже происходит в фоновом режиме, поэтому пользователь может ее проигнорировать или вообще не заметить. Никаких прав администратора на запуск система не запрашивает.

Подключение к Tor

После установки на компьютере начинают действовать три фоновых программы. Одна подключает ваш Mac к анонимной сети Tor, делая компьютер видимым в «глубоком» интернете. Этот скрытый сервис соединяет вас с локальным сервером, который действует как C&C центр. Tor также устанавливает связь с криптографическим сервисом SSH, с которого ваш компьютер можно достать даже за фаерволом. Параллельно этому действует вторая фоновая программа – PHP-скрипт, открывающий доступ к файлам через браузер.

Вместе эти две программы полностью передают ваш Mac под контроль злоумышленника. Ему достаточно знать лишь имя скрытого сервиса, уникальное для каждого зараженного компьютера. Чтобы его выяснить, нужна третья программа, которая загружает произвольное 16-значное имя в профиль Pastebin. Открыв преступнику доступ к вашим файлам, программа автоматически удаляется.

Что OSX/Eleanor-A делает с компьютером

Одна из интереснейших обнаруженных функций трояна - это перехват им контроля над iSight - встроенной камерой компьютеров Mac.

Доступ к веб-камере позволяет OSX/Eleanor-A круглосуточно наблюдать за пользователем. За пересылку данных на компьютер хакера отвечает утилита Netcat, за работу с веб-камерой – компонент Wacaw. Работу со снимками, скрыто сделанными камерой, облегчает программа просмотра изображений, написанная на PHP. Как полагают эксперты из Bitdefender, изучающие проблему, отследить, куда отправляются данные, невозможно.