Компании SecureMac и Intego обнаружили новую волну троянцев для операционной системы MacOS X. Проблема возникла из-за того, что в Mac OS X 10.4 Tiger и 10.5 Leopard обнаружилась опасная особенность - запуск приложения Apple Remote Desktop с установленным битом SUID. Это означает, что приложение запускается с правами владельца приложения (то есть root), а не с правами пользователя. Это позволяет поднять полномочия до администратора от простого пользователя или даже гостя.

На следующий день был опубликован код на AppleScript, который использует эту уязвимость для внедрения в систему. Правда, пользователь должен самостоятельно запустить этот сценарий, однако после запуска он увеличивал свои полномочия до административных, открывал файловую систему, выключал межсетевой экран и разрешал удаленное администрирование. После этого любой мог получить доступ к атакованной системе и сделать в том числе и снимки с помощью встроенной в Mac камеры троянец распространялся через системы iChat и Limewire. Троянец был назван AppleScript.THT.

На следующий день появилась троянская программа OSX.Trojan.PokerStealer, которая выдавала себя за карточную игру для того, чтобы пользователь ее запустил. После запуска программа выдавала сообщение о том, что ей не хватает прав для установки и просила ввести пароль администратора. Если пользователь вводил такой пароль, то он тут же передавался на внешний сайт злоумышленника. Таким образом, злоумышленники начали осваивать новую платформу для установки своих утилит, используя опыт организации аналогичных атак на платформу Windows.

Поделитесь материалом с коллегами и друзьями