Специалисты компании AlienVault обнаружили троянскую программу, которая распространяется с файлами MS Office и устанавливается в системе с помощью критической уязвимости MS09-027 в Microsoft Office. Уязвимость датируется 2009 годом, но используется до сих пор. По информации AlienVault, рассылкой вредоносных файлов занимается та же организация, которая и раньше была замечена в атаках на тибетские неправительственные организации.
Исследователи говорят, что это один из редких случаев, когда они увидели реально использующийся троян под Mac, внедрённый в офисные файлы. Такие встречаются исключительно редко. Программа может эффективно работать, если попадает в систему с правами администратора, иначе её функциональность ограничена.
В данном случае DOC-файл рассылается под видом послания «тибетцам всего мира» (см. текст сообщения). После открытия файла шелл-код записывает вредоносный код в папку /tmp/ (bash-файл, нормальный doc-файл, бинарник). Bash-скрипт запускается на исполнение (/tmp/launch-hs):
fstat(0×2, 0xBFFF4CD0, 0×200)
…
fstat(0×24, 0xBFFF4CD0, 0×200)
lseek(0×24, 0×6600, 0×0) #File Offset on the doc file
open(“/tmp/launch-hs\0″, 0×602, 0x1FF)
open(“/tmp/launch-hse\0″, 0×602, 0x1FF)
open(“/tmp/file.doc\0″, 0×602, 0x1FF)
read(0×24, “#!/bin/sh\n/tmp/launch-hse &\nopen /tmp/file.doc &\n\n\0″, 0×32)
write(0×26, “#!/bin/sh\n/tmp/launch-hse &\nopen /tmp/file.doc &\n\n\0″, 0×32) …
…
…
close(0×28)
vfork()
execve(0×28, 0xBFFF4B80, 0×0)
С&С-сервер первого из двух троянов находится по следующему адресу:
- 2012.slyip.net : 173.255.160.234
173.255.160.128 – 173.255.160.255
Black Oak Computers Inc – New York – 75 Broad Street
New York, NY, US
Второй троян, имеющий внутреннее название MacControl, создаёт файл /Users/{User}/Library/LaunchAgents/com.apple.FolderActionxsl.pslist
и запускается при следующем старте системы.
Он посылает на удалённый сервер некоторую информацию о жертве: имя пользователя, имя хоста, версию системы, после чего ждёт команд от удалённого сервера, работая как классический RAT.
В данном случае командный сервер находится на адресе 114.249.207.194 в Китае:
114.240.0.0 – 114.255.255.255
China Unicom Beijing province network
China Unicom
Ни одна из перечисленных вредоносных программ на данный момент не обнаруживается антивирусами (нулевая видимость).