В январе 2016 года специалисты «Лаборатории Касперского» опубликовали детальный анализ кроссплатформенного бэкдора Mokes.A, который атаковал машины, работающие под управлением Windows и Linux. Теперь, более полугода спустя, исследователи сообщили об обнаружении версии для macOS (ранее OS X), получившей название Backdoor.OSX.Mokes.a. Равно как и версии для других платформ, бэкдор шпионит за пользователем зараженной системы, перехватывая аудио и видео, следя за нажатиями клавиш и делая скриншоты каждые 30 секунд.

Еще в ходе анализа бэкдора Mokes.A, предназначенного для Windows, исследователи установили, что малварь написана на С++ с использованием фреймворка Qt. В теории это означало, что вредонос может быть использован для атак на пользователей macOS, и недавно эта теория нашла подтверждение в виде работающего образца бэкдора.

Исследователи сообщают, что Mokes.A для macOS обладает такой же функциональностью, как бэкдоры для Linux и Windows. Малварь шпионит за пользователем, делая снимки экрана раз в 30 секунд, перехватывает нажатия клавиш, перехватывает аудио- и видеосигналы с микрофонов и камер, а также сканирует систему на предмет документов Microsoft Office (xls, xlsx, doc, docx).

Все собранные данные передаются на управляющий сервер злоумышленников, и для этого бэкдор использует алгоритм шифрования AES-256-CBC. Если C&C-сервер по каким-либо причинам недоступен, малварь складирует собранную информацию под видом временных файлов:

  • $TMPDIR/ss0-DDMMyy-HHmmss-nnn.sst (Скриншоты)
  • $TMPDIR/aa0-DDMMyy-HHmmss-nnn.aat (Аудиозаписи)
  • $TMPDIR/kk0-DDMMyy-HHmmss-nnn.kkt (Нажатия клавиш)
  • $TMPDIR/dd0-DDMMyy-HHmmss-nnn.ddt (Различные данные)

DDMMyy = дата: 070916 = 2016-09-07
HHmmss = время: 154411 = 15:44:11
nnn = миллисекунды

Также анализ показал, что бэкдор копирует себя в самые разные части системы, в том числе внедряясь в директории Skype, Dropbox, Google Chrome и Firefox. Аналогичный почерк демонстрировала версия для Linux, после установки внедрявшаяся в файлы Dropbox и Firefox.

Пока неизвестно, насколько широко распространен бэкдор Mokes.A, и сколько пользователей уже пострадали в результате его деятельности. Также аналитики «Лаборатории Касперского» пока не сообщают, какой именно вектор заражения использует Mokes.A, атакуя пользователей macOS.

2 комментария

  1. soko1

    11.09.2016 at 14:03

    >для macOS (ранее OS X)

    Смысл в каждой статье про это писать? И так уже все давно привыкли к новому, очередному названию

Оставить мнение

Check Also

Necurs, крупнейший спамерский ботнет в мире, обзавелся функциональностью для DDoS-атак

Ботнет Necurs, насчитывающий порядка 5 млн зараженных устройств, теперь имеет модуль для о…