Под Mac OS X появились первые эксплоиты

Сегодня в сети появилась информация об обнаружении уязвимостей, с использованием которых возможно заражение троянами устройств под управлением Mac OS X. Mac считается одной из самых надежных ОС в мире, однако в последнее время под OS начали появляться уязвимости, в основном, это известные уязвимости в Java.

Комплекты для эксплуатации уязвимости Java в Mac OS X уже появились в трояне BackDoor.Flashback. Пользователю Mac OS X предлагается загрузить и установить архив, содержащий файл с именем FlashPlayer-11-macos.pkg (для других ОС загрузка не выполняется). После запуска установщик пытается скачать с удаленного сайта основной модуль трояна, и, если это не удается, прекращает свою работу.

Теперь же схема заражения немного изменилась. При открытии инфицированного сайта выполняется проверка user-agent компьютера, и, если запрос сделан из-под MacOS с определенной версией браузера, пользователю отдается страница, загружающая несколько java-апплетов (скриншот).

Модуль с именем rhlib.jar использует уязвимость CVE-2011-3544. Он помещает в папку /tmp/ исполняемый файл .sysenterxx, выставляет ему необходимые атрибуты и запускает на выполнение. Второй модуль clclib.jar использует уязвимость CVE-2008-5353, а файл ssign.jar представляет собой дроппер Java.Dropper.8, подписанный недействительной подписью.