טרויאני למערכת ההפעלה OSX שנתגלה לאחרונה מנצל פרצת אבטחה ישנה יחסית על-מנת להתקין קוד זדוני במחשב הנגוע ולגנוב ממנו מידע. אחת מהווריאציות החדשות של הטרויאני עושה שימוש במסמכי אופיס כחלק מתהליך ההתקנה והיא מכונה על-ידי מומחי האבטחה של ESET בשם OSX/Lamadi.A.
בניתוח ראשוני של הטרויאני, שערכה חברת האבטחה AlienValut, נמצא שמקור הנוזקה הוא בסין ומפעילה מכוונים את פעילותה נגד אתרים לא ממשלתיים בטיבט. חברת ESET המשיכה את הניתוח וחקרה את הנוזקה לעומק.
"אחת השיטות לנתח נוזקה היא לנסות לפענח את הקוד הבינארי שלה כדי להשיג רמזים לגבי הפעולה שלה ואיך אפשר להתגבר עליה" אומרים ב ESET. "גישה נוספת היא פשוט להתקין ולהריץ אותה ולראות מה היא עושה. זה בדיוק מה שעשינו וקיבלנו כמה תוצאות מעניינות".
ב ESET הבחינו שלאחר ההתקנה הנוזקה יוצרת קשר עם שרת שליטה שנמצא בסין. לאחר שהחיבור נוצר השרת יכול לתת פקודות לטרויאני להוריד או להתקין קבצים על המחשב הנגוע, להריץ תוכנות או פקודות או לזהם את המחשב בווירוס או קוד זדוני אחר. או במילים אחרות מפעיל הטרויאני מחובר למחשב הנגוע מרחוק והוא יכול לעשות בו כמעט ככל העולה על רוחו.
ב ESET מציינים שהטרויאני מתוחכם דיו כדי להשתמש בכמה רמות של הצפנה על-מנת להסוות את התקשורת שלו עם השרת המרוחק, מה שמקשה על גילויו. בנוסף הטרויאני משתמש במערכת בקרה למעקב אחר תקינות ההעברה וההורדה של קבצים מה שמעיד שלא מדובר על ניסיון חפוז להשיג מידע רנדומלי, אלא על מערכת שתוכננה במיוחד כדי להשיג ולשמר את המידע שהיא מנסה לגנוב.
אבל אחד הממצאים המעיינים ביותר בניתוח שלESET הוא הגילוי שהשרת המרוחק מופעל על-ידי אדם, בניגוד להתקפות דומות שבהן השרת המרוחק מופעל אוטומטית. כאשר החיבור לשרת השליטה נוצר, חוקריESET הבחינו שחלק מהפקודות שהתקבלו במחשב הניסוי הכילו שגיאות הקלדה שלאחר מכן תוקנו, ופעולות נוספות שבוצעו בזמן אמת הראו שמישהו 'מתעסק' עם הטרויאני ונותן לו פקודות מה לעשות הלאה.
בחברת ESET מציינים שבעוד שהאיום הזה הוא אחד האיומים הראשונים שמצליחים לפרוץ ולגנוב מידע ממחשבים בעלי מערכת ההפעלה OSX, הוא עדיין מנצל פרצת אבטחה שהיא יחסית ישנה ושאפל כבר שחררה עידכון אבטחה שמטפל בה ולכן חשוב לשמור על מערכת ההפעלה מעודכנת כל הזמן.
למידע נוסף על אודות המחקר של חברת ESET על הטרויאני
לחצו כאן 