Распространение этого вируса ограничено очень многими факторами. Прежде всего, заражению подвергаются только файлы с 32-битной архитектурой.
Кроме того, многие файлы имеют цифровую подпись, поэтому в их заражении нет никакого смысла, так как система безопасности OS X просто не запустит такой файл.
Наши дни
В общем и целом начали прослеживаться следующие тенденции: использование Java и Adobe Flash уязвимостей для установки, подписывание кода и широкое распространение шпионских программ для целевых атак на пользователей продукции Apple.
В 2014 году количество новых семейств вредо-носов для Mac стало почти таким же, как их суммарное количество за все годы до этого.
Appetite
Этот вредонос интересен информационной шумихой, которая вокруг него творилась. Распиаренное имя — Careto (маска по-испански) или The Mask. В 2014 году «Лаборатория Касперского» опубликовала отчет об очередной продвинутой киберкомпании.
- Lingid-Katrin: дайджест статей №948 -> 09.04.13
- Gid-Maxis: дайджест статей №876 -> 21.10.14
- Lin-Kazakh1: дайджест статей №1004 -> 20.11.12
- Gid-Afan1960: дайджест статей №996 -> 03.11.11
- Lin-Gonzago: дайджест статей №484 -> 03.02.10
- Linuxgid-Susa: дайджест статей №486 -> 17.02.14
- Lingid-Maha: дайджест статей №525 -> 28.09.14
- Gid-Aidos: дайджест статей №905 -> 27.10.12
- Lin-Micha: дайджест статей №957 -> 16.02.11
- Linuxgid-Ola: дайджест статей №954 -> 24.02.12
Продвинутость заключалась в использовании в этой компании вредоносов под разные платформы, в том числе Windows, Linux и OS X. Для Windows модули назывались dinner.jpg, waiter.jpg, chef.jpg, отсюда и название — Appetite.
В отчете ЛК, который до сих пор доступен только на английском языке, довольно подробно описаны компоненты для Windows, но вот к описанию Mac-версии есть вопросы.
Одним из компонентов Careto был бэкдор, созданный на базе опенсорсного клона утилиты netcat под названием Shadowinteger’s Backdoor (SDB), разработанного аж в 2004 году.
- Gid-Monk: дайджест статей №723 -> 22.05.14
- Lingid-Tastak: дайджест статей №783 -> 15.07.13
- Gid-Katy: дайджест статей №740 -> 16.09.14
- Gid-Graf: дайджест статей №938 -> 06.04.14
- Gid-Pronyra: дайджест статей №416 -> 25.11.14
Заражение дроппером происходило при открытии ссылки в фишинговом письме, которая перенаправляла запрос на эксплойт-пак. Он, в частности, использовал уязвимости Java (CVE-2011-3544) и Adobe Flash (CVE-2012-0773).
Файл дроппера назывался banner.jpg, но был исполняемым файлом формата Mach-O.