«Доктор Веб» обнаружил новый бэкдор для Mac

Специалисты компании «Доктор Веб» обнаружили и исследовали троянца для операционной системы Apple macOS, способного выполнять поступающие от злоумышленников команды.

Троянец-бэкдор был добавлен в вирусные базы Dr.Web под именем Mac.BackDoor.Systemd.1. В момент старта он выводит в консоль сообщение с опечаткой «This file is corrupted and connot be opened» и перезапускает себя в качестве демона с именем systemd. При этом Mac.BackDoor.Systemd.1 пытается скрыть собственный файл, установив для него соответствующие флаги. Затем троянец регистрирует себя в автозагрузке, для чего создает файл с командами sh и файл .plist.

Зашифрованная конфигурационная информация хранится в самом файле троянца. В зависимости от нее Mac.BackDoor.Systemd.1 либо сам устанавливает связь с управляющим сервером, либо ожидает входящего запроса на соединение. После установки связи бэкдор выполняет поступающие команды и периодически отсылает злоумышленникам следующую информацию:

наименование и версия операционной системы;
имя пользователя;
наличие у пользователя привилегии администратора (root);
MAC-адреса всех доступных сетевых интерфейсов;
IP-адреса всех доступных сетевых интерфейсов;
внешний IP-адрес;
тип процессора;
объем оперативной памяти;
данные о версии вредоносной программы и ее конфигурации.
Троянец имеет собственный файловый менеджер, с использованием которого киберпреступники могут выполнять различные действия с файлами и папками на зараженном компьютере. Бэкдор способен выполнять следующие команды:

получить список содержимого заданной директории;
прочитать файл;
записать в файл;
получить содержимое файла;
удалить файл или папку;
переименовать файл или папку
изменить права для файла или папки (команда chmod);
изменить владельца файлового объекта (команда chown);
создать папку;
выполнить команду в оболочке bash;
обновить троянца;
переустановить троянца;
сменить IP-адрес управляющего сервера;
установить плагин.
Троянец Mac.BackDoor.Systemd.1 обнаруживается и удаляется продуктами Dr.Web для Mac и потому не представляет опасности для наших пользователей.