Исследовательская лаборатория компании Bitdefender, специализирующейся на интернет-безопасности, раскрыла информацию о новом вредоносном ПО для Mac под названием Backdoor.MAC.Eleanor [PDF]. Узнайте больше о вредоносном ПО и о том, как защитить свой Mac от злоумышленников.

Что такое Backdoor.MAC.Eleanor?

Backdoor.MAC.Eleanor — это новое вредоносное ПО для OS X/macOS, возникающее из вредоносного стороннего приложения EasyDoc Converter, которое маскируется под конвертер файлов с функцией перетаскивания.

Что такое EasyDoc Converter?

«EasyDoc Converter.app» — это стороннее приложение для Mac, которое маскируется под конвертер файлов с функцией перетаскивания. Приложение имеет следующее поддельное описание:

EasyDoc Converter — это быстрый и простой конвертер файлов для OS X. Мгновенно конвертируйте ваши документы FreeOffice (.fof) и SimpleStats (.sst) в Microsoft Office (.docx), перетаскивая файл в приложение. EasyDoc Converter отлично подходит для сотрудников и студентов, которым нужен простой инструмент для быстрого преобразования файлов в популярный формат Microsoft. EasyDoc Converter позволяет вам быстро приступить к работе благодаря простому и понятному интерфейсу с функцией перетаскивания. Конвертированный документ будет сохранен в той же директории, что и исходный файл.

EasyDoc Converter ранее был доступен на сайте загрузки программного обеспечения MacUpdate, но приложение было удалено к 5 июля. Оно все еще может быть доступно для загрузки в других местах в Интернете. Приложение никогда не было доступно через Mac App Store.

Приложение было создано с использованием Platypus, инструмента разработчика, используемого для создания нативных приложений для Mac из скриптов shell, Perl, Python или Ruby.

Как распространяется Backdoor.MAC.Eleanor?

Backdoor.MAC.Eleanor заражает Mac при установленном EasyDoc Converter. Приложение устанавливает вредоносный скрипт, который регистрируется при запуске системы и позволяет злоумышленнику анонимно получать доступ к зараженному Mac.

Каким образом Backdoor.MAC.Eleanor подвергает мой Mac риску?

Backdoor.MAC.Eleanor создает скрытый сервис Tor, который предоставляет злоумышленникам полный анонимный удаленный доступ к зараженному Mac через локальный веб-сервер на основе PHP, называемый Web Service, — через адрес, сгенерированный Tor.

Затем злоумышленники получают возможность получать доступ и изменять файлы, выполнять команды оболочки, захватывать изображения и видео с веб-камер iSight или FaceTime и многое другое через веб-панель управления:

• Менеджер файлов (просмотр, редактирование, переименование, удаление, загрузка, скачивание и архивирование файлов)
• Выполнение команд (выполнение команд)
• Выполнение скриптов (выполнение скриптов на PHP, PERL, Python, Ruby, Java, C)
• Оболочка через bind/reverse shell connect (удаленное выполнение команд root)
• Простой конструктор пакетов (тестирование наборов правил межсетевого экрана и поиск точек входа в целевую систему или сеть)
• Подключение и администрирование баз данных
• Список процессов/диспетчер задач (доступ к списку запущенных процессов и приложений)
• Отправка электронных писем с вложенными файлами

Что такое скрытый сервис Tor?

Tor — это бесплатное программное обеспечение, которое обеспечивает анонимную связь по компьютерной сети, известной как луковая маршрутизация. Программное обеспечение фактически перенаправляет сетевой трафик через сеть компьютеров таким образом, чтобы его нельзя было отследить до исходного IP-адреса, позволяя пользователям просматривать Интернет без идентификации.

Скрытые сервисы Tor — это веб-сайты или серверы, настроенные на прием входящих соединений только при их маршрутизации через сеть анонимности. Скрытый сервис доступен через свой «луковый» адрес, например XXXpaceinbeg3yci.onion, к которому злоумышленник может подключиться, чтобы получить удаленный контроль над зараженным Mac.

Какие Mac подвержены заражению?

MacUpdate указывал системные требования EasyDoc Converter как для Mac на базе Intel под управлением OS X 10.6 (Snow Leopard) или новее. OS X Snow Leopard совместима с Mac, имеющими не менее 1 ГБ ОЗУ и 5 ГБ свободного места на диске.

Таким образом, Backdoor.MAC.Eleanor способен заражать модели MacBook середины 2007 года выпуска и новее, все модели MacBook Air и MacBook Pro, модели Mac mini и iMac середины 2007 года выпуска и новее, а также все модели Mac Pro.

Определите модель вашего Mac, щелкнув логотип Apple в меню macOS в верхнем левом углу и выбрав «Об этом Mac».

Как защитить себя от Backdoor.MAC.Eleanor?

Самая важная и очевидная мера профилактики — избегать загрузки «EasyDoc Converter.app» из любого источника. Установка незнакомых приложений от неопознанных разработчиков почти всегда представляет собой риск для безопасности.

Стандартные настройки безопасности Gatekeeper от Apple уже предотвращают запуск EasyDoc Converter, если вы не проигнорируете диалоговое окно с предупреждением и не откроете приложение вручную через «Системные настройки» > «Защита и безопасность».

Пользователи Mac также могут загрузить надежное антивирусное приложение, такое как BlockBlock, которое постоянно отслеживает распространенные места сохранения и отображает оповещение при добавлении компонента сохранения в систему.

Пользователи, которые уже установили EasyDoc Converter, могут загрузить антивирусное программное обеспечение Malwarebytes, которое уже обновлено для обнаружения и удаления Backdoor.MAC.Eleanor.

Как Apple справится с этим вредоносным ПО?

Apple, скорее всего, обновит свою антивирусную систему «Xprotect» для блокировки EasyDoc Converter.