Аналитики компании Bitdefender обнаружили новую угрозу (PDF), направленную на пользователей macOS (бывшая OS X). Малварь Backdoor.MAC.Eleanor фактически добавляет в систему бекдор, размещая на компьютере жертвы домен .onion, так что для доступа к зараженной системе хакерам нужен только обычный браузер.
Исследователи сообщают, что на данный момент Backdoor.MAC.Eleanor маскируется под приложение EasyDoc Converter — конвертер файлов и распространяется через сторонние сайты ПО для Mac. На самом деле вместо конвертера пользователи получают вредоносный скрипт, который устанавливает и добавляет в автозагрузку три компонента: Tor hidden service, PHP Web service и клиент Pastebin.
Tor используется для установления автоматического соединения между зараженной машиной и «луковой» сетью, а также для создания домена в зоне .onion, который будет доступен для атакующих при помощи простого браузера.
PHP отвечает за контроль над зараженной машиной. Компонент осуществляет получение команд от злоумышленников и отвечает за интерпретацию этих команд для macOS.
Клиент Pastebin нужен для передачи данных о новой жертве злоумышленникам. Он загружает информацию о локальном домене .onion на Pastebin, предварительно зашифровав информацию публичным ключом RSA, с использованием алгоритма base64.
В итоге Backdoor.MAC.Eleanor позволяет злоумышленникам чувствовать себя в зараженной системе как дома. Фактически инфицированное устройство становится частью ботнета. Атакующие могут взаимодействовать с файловой системой, запускать реверс шеллы, выполнять root-команды, а также выполнять любые скрипты на PHP, PERL, Python, Ruby, Java или C.
Операторы ботнета могут заставить зараженную машину рассылать спам, участвовать в DDoS-атаках, могут похитить приватные данные или установить на устройство дополнительную малварь. Помимо прочего, атакующие способны перехватывать изображение и видео с веб-камеры жертвы. Вот так выглядит "галерея" в панели управления бекдором:
