Эксперты Sophos Labs обнаружили ещё одну вредоносную программу, которая эксплуатирует ту же самую известную уязвимость в Java, что и пресловутый Flashback, заразивший почти 600 тысяч компьютеров Macintosh.
Патчи для данной уязвимости Java уже вышли: 14 февраля для Windows, Linux и Unix, а в апреле — для Macintosh, так что новый троян не представляет особой угрозы, хотя всегда найдутся те, кто ещё не установил патчи.
Он интересен в первую очередь своим исполнением: программа на Python работает как бэкдор для OS X. Она устанавливается на Macintosh после эксплуатации вышеупомянутой уязвимости с помощью Java-кода, который распознаётся антивирусом Sophos как Mal/20113544-A и Mal/JavaCmC-A.
Затем на OS X устанавливается файл install_flash_player.py, который классифицируется как OSX/FlsplyDp-A. Далее из тела install_flash_player.py распаковывается Python-скрипт update.py. Он работает как бэкдор OS X, позволяя злоумышленнику скрытно посылать команды, загружать файлы на компьютер, копировать информацию и выполнять команды без ведома пользователя. Последний скрипт классифицируется антивирусом как OSX/FlsplySc-A.
По мнению исследователей, новая атака через Java-уязвимость отличается по стилю от Flashback. Это свидетельствует о том, что аудиторией пользователей Macintosh заинтересовалась ещё одна преступная группировка.
Интересно, что в коде есть комментарий, указывающий на разработку будущих версий программы.
