Растущая популярность платформы Mac и менее зрелые системы защиты для Apple сделали данную ОС потенциальной мишенью для злоумышленников. Это привело к большему количеству атак на пользователей Mac, чем когда-либо ранее.

Недавно специалисты Symantec обнаружили новый вариант OSX.Macontrol, впервые выявленный в марте 2012 года. Этот образец передается через целевые рассылки. Бинарный файл [md5 - e88027e4bfc69b9d29caef6bae0238e8] отличается небольшим размером (75 Кб) и лишь немногим превосходит функциональность бэкдора для удаленного хоста (61.178.77.16x). Веб-сервер относится к категории HTTP-command-and-control, он собирает и модифицирует системные настройки жертв. В то же время протокол HTTP позволяет атакующему избежать обнаружения за счет использования команд, кажущихся чистым веб-трафиком.

OSX.Macontrol может:

• Закрыть соединение с удаленным хостом и прекратить действие угрозы;
• Собирать информацию со взломанного компьютера, пересылая ее на удаленный хост;
• Пересылать список процессов со взломанного ПК на удаленный сервер;
• Завершать процессы;
• Саботировать запуск процессов;
• Восстанавливать путь установки Трояна;
• Удалять файлы;
• Запускать файлы;
• Пересылать файлы на удаленный сервер;
• Передавать статус пользователя и информацию о нём на удаленный сервер;
• Завершать за пользователя его сеанс работы с системой;
• Переводить компьютер в режим сна;
• Перезагружать компьютер;
• Выключать компьютер.

По обращению компании Symantec компания Apple недавно обновила антивирусные базы OS X, чтобы обеспечить защиту от данной версии Macontrol.