Komputery Mac są uznawane jako względnie bezpieczne, z pewnością ma na to wpływ skromny udział w rynku. Dzięki temu skupianie się na tworzeniu szkodliwego oprogramowania na macOS (dawniej OS X) jest raczej mało opłacalne bo po prostu stosunkowo niewiele osób może paść ofiarą wirusa. Niestety coraz częściej mamy do czynienia z nowymi próbami ataków na komputery Mac.

Taki przykład opisali inżynierowie z firmy Bitdefender która zajmuje się kwestiami bezpieczeństwa internetowego. Ich dział badawczy odkrył, że w programie EasyDoc Converter znajduje się malware o nazwie Backdoor.MAC.Eleanor. 

EasyDoc Converter to aplikacja spoza Mac App Store która ma spełniać jedną dość prostą funkcję, konwertuje pliki .fof (FreeOffice) i .sst (SimpleStats) do .docx (Microsoft Office). Zastanawiam mnie kto używa tych dziwnych programów ? Przecież jest Open Office czy Pages, więc po co kombinować z jakimiś dziwnymi aplikacjami ich formatami. Ludzie to naprawdę lubią sobie komplikować życie. Aplikację można było ściągnąć z MacUpdate, ale o 5 lipca nie jest już dostępna w zasobach serwisu. Na szczęście po wpisaniu w Google nazwy tego „cudownego” programu pierwsze wyniki wyszukiwania to ostrzeżenie o tym, że to wirus.

Backdoor.MAC.Eleanor wirus

Wyniki wyszukiwania dla EasyDoc Converter

Jak działa Backdoor.MAC.Eleanor ?

Po uruchomieniu jest instalowany skrypt które jest wywoływany przy starcie systemu. Dzięki temu twórca tego wirusa może uzyskać pełny dostęp do naszego komputera. Dostęp do naszego systemu atakujący uzyskuje przez niewidzialną usługę Tor która jest oparta o lokalny serwer PHP.

Backdoor.MAC.Eleanor

Zakres możliwości jakie ma atakujący jest naprawdę spory

  • modyfikowanie plików
  • wywoływanie skryptów ( PHP, PERL, Python, Ruby, Java, C )
  • robienie zrzutów ekranu
  • nagrywanie z kamery iSight oraz rozmów przez Face Time
  • praktycznie pełny dostęp do Findera
  • wysyłać wiadomości e-mail wraz z załącznikami
  • dostęp do listy procesów
  • możliwość testowania reguł firewall

Jak widać osoba postronna dostaje prawie pełny dostęp do naszego komputera. Na szczęście EasyDoc Converter jest blokowany przez Gatekeeper o ile nie zignorujemy ostrzeżenia. Jeśli jednak z jakiegoś powodu ktoś z Was uruchomił tą aplikację, to nie pozostaje nic innego jak odtworzenie ostatniej kopii z Time Machine przed uruchomieniem programu z wirusem. Oczywiście robicie kopie zapasowe :) ?

Więcej możecie przeczytać tutaj PDF