Wieloplatformowy trojan Mokes posiada teraz także wersję dla systemu OS X
Na początku bieżącego roku eksperci z Kaspersky Lab zidentyfikowali nową rodzinę wieloplatformowych szkodliwych programów —
Mokes. Trojany atakowały komputery z systemem Linux oraz Windows, a ich głównym zadaniem było przechwytywanie znaków wprowadzanych z klawiatury, wykonywanie zrzutów ekranu, jak również szpiegowanie przy użyciu kamer i mikrofonów podłączonych do zainfekowanych urządzeń. Teraz do tych dwóch wariantów doszedł kolejny — dla systemu OS X firmy Apple.
Analitycy z Kaspersky Lab weszli w posiadanie pierwszych próbek szkodników z rodziny Mokes w styczniu 2016 r. Były to wersje dla systemów Windows i Linux. Analizując budowę szkodnika, badacze podejrzewali, że powstanie kolejnej wersji — dla systemu OS X — jest jedynie kwestią czasu. Taki moment właśnie nadszedł, a nowy szkodnik Backdoor.OSX.Mokes.a pozwala cyberprzestępcom wykonywać na zainfekowanych komputerach firmy Apple następujące operacje:
kradzież rozmaitych rodzajów danych (zrzuty ekranu, znaki wprowadzane z klawiatury, określone dokumenty),
podsłuch audio i wideo przy użyciu wbudowanej kamery oraz mikrofonu,
zdalne wykonywanie poleceń cyberprzestępców,
zaszyfrowana komunikacja z serwerami kontrolowanymi przez cyberprzestępców.
Po uruchomieniu szkodnik umieszcza swoje kopie w kilku kluczowych miejscach OS X i tworzy pliki, które zapewniają mu start wraz z każdym uruchomieniem systemu. Następnie trojan podejmuje próbę nawiązania łączności z serwerem kontrolowanym przez cyberprzestępców i otwiera zaszyfrowany kanał komunikacji, przy którego użyciu atakujący mogą wydawać szereg poleceń. Standardowo szkodnik przechwytuje dźwięk z wbudowanego lub podłączonego mikrofonu, monitoruje zawartość podłączanych nośników wymiennych, wykonuje graficzny zrzut zawartości ekranu co 30 sekund i skanuje komputer w poszukiwaniu dokumentów pakietu Microsoft Office. Wszystkie przechwycone informacje i dokumenty są wysyłane w postaci zaszyfrowanej do cyberprzestępców.
Produkty Kaspersky Lab wykrywają nowego trojana jako HEUR:Backdoor.OSX.Mokes.a.