Троян содержит встроенный интерпретатор скриптового языка Lua.
Эта фича позволяет злоумышленникам при необходимости расширять функционал трояна, загружая и исполняя скрипты, разработанные для специфических задач.
Бинарный код трояна упакован UPX и написан на C++, из чего исследователи делают вывод, что разработчик, скорее всего, обычно пишет под Linux, потому что большинство Mac-программ пишется на Objective-C.
Масштабы заражения составляют порядка 18 тысяч компьютеров.
Некоторое недоумение вызывает то, что в своем описании сотрудники Dr.Web не удосужились рассказать про вектор заражения, причем в названии слово worm вроде как присутствует.
Восполним этот пробел. Никакого механизма саморепликации не было, распространение шло довольно тривиальным способом — через заражение популярных дистрибутивов с последующим их выкладыванием на торрент-трекере The Pirate Bay.
- Gid-Gulya: дайджест статей №813 -> 13.08.14
- Lingid-Mrkent: дайджест статей №976 -> 26.04.10
- Lin-Akson: дайджест статей №711 -> 03.12.13
- Gid-Minister: дайджест статей №922 -> 07.07.12
- Lingid-Dashka: дайджест статей №757 -> 19.02.13
- Gid-Erke-Kiz: дайджест статей №1012 -> 14.06.10
- Lin-Smailer84: дайджест статей №974 -> 11.11.14
- Linuxgid-Sot: дайджест статей №902 -> 11.02.14
- Lin-Mopstick: дайджест статей №284 -> 23.12.11
- Lin-Ilayda: дайджест статей №982 -> 04.10.11
Благодаря этому пользователей не волновало сообщение о необходимости ввести пароль для получения прав администратора.
Между прочим, информация о методе заражения была получена владельцем сайта The Safe Mac (thesafemac.com) на email от анонимного отправителя.
XSLCmd
Очередной образец вредоноса, используемый в ходе атак класса APT. Mac-версия обнаружена в августе 2014-го. Представляет собой одноименный порт reverse shell для Windows, который применялся для атак с 2009 года.
В версии XSLCmd для OS X добавлены две функции, отсутствующие в вариантах для Windows: считывание нажатий клавиш и создание снимков экрана.
- Gid-Serp: дайджест статей №962 -> 21.12.13
- Lingid-Elzza: дайджест статей №1001 -> 01.04.10
- Lin-Seryi: дайджест статей №460 -> 22.01.12
- Lin-Melnik2: дайджест статей №988 -> 19.09.12
- Lin-Dalai: дайджест статей №985 -> 26.03.11
Авторство приписывают кибергруппировке, названной GREF, из-за характерного стремления использовать код Google Analytics для встраивания скриптов, перенаправляющих на эксплойтпак.
Участники GREF не жалуют атаки с использованием фишинговых писем и предпочитают технику Watering Hole — взлом веб-сайтов, популярных среди работников определенных отраслей, и внедрение на их страницы вредоносных JavaScript-файлов.