Trojan atakuje Mac OS X

Firma SecureMac, zajmująca się tworzeniem oprogramowania zabezpieczającego systemy operacyjne Apple, poinformowała o wykryciu konia trojańskiego groźnego dla Mac OS X w wersji 10.4 i 10.5.

Trojanowi nadano nazwę AppleScript.THT oraz status "krytycznego" zagrożenia dla bezpieczeństwa systemu. Atakuje przez niedawno wykrytą lukę w aplikacji Apple Remote Desktop Agent, za pośrednictwem której cyberprzestępca może zdalnie przejąć całkowitą kontrolę nad zaatakowaną maszyną. AppleScript.THT zidentyfikowany został pod postacią 60-kilobajtowego skryptu AppleScript o nazwie ASthtv05 lub też w formie aplikacji z ciągiem znaków AStht_v06 w nazwie, o "wadze" 3,1 MB. Trojan jednak nie rozprzestrzenia się sam - jego rozpowszechnienie zależy głównie od stopnia interakcji użytkownika - aby infekcja się powiodła, musi być pobrany i uruchomiony w systemie.

Trojan umożliwia przesyłanie haseł, a dodatkowo m.in. otwiera porty zapory sieciowej, co ma utrudnić jego wykrycie. Może również działać jak keylogger, odczytując ciągi znaków wpisywanych na klawiaturze, wykonywać zdjęcia przez kamerę iSight i tworzyć zrzuty ekranowe.

Aby ochronić się przed infekcją, nie należy otwierać plików niewiadomego pochodzenia, zwłaszcza pobranych z niepewnego źródła.

Specjaliści, którzy uważają, że zagrożenie trojanem nie jest zbyt wielkie (jak choćby Thomas Ptacek z Matasano Security LLC) doradzają np. przeniesienie agenta Apple Remote Desktop z domyślnej lokalizacji (System/Library/CoreServices/RemoteManagement). Inny sposób na poradzenie sobie ze szkodnikiem to użycie polecenia chmod do modyfikacji uprawnień do katalogu /Library/Caches/folder, gdzie rezyduje trojan po instalacji w OS-ie.


Zobacz również