Her kan angriperen stelle til mye fandenskap. (Bilde: SophosLabs)

Uferdig trojaner mot Mac OS X

SophosLabs har mottatt en betautgave av «BlackHole RAT».

En ikke-oppgitt kilde har forsynt det britiske IT-sikkerhetsselskapet Sophos med noe de tolker som en betaversjon av en ny trojaner rettet mot Apples pc-operativsystem Mac OS X, går det fram av bloggen NakedSecurity.

Trojanerens forfatter kaller den «BlackHole RAT». RAT er en forkortelse for «remote access tool» eller «remote access trojan». I Mac-verden er uttrykket «Black Hole» kjent som betegnelsen på en type sikkerhetsprogramvare distribuert av irradiated.net. Trojaneren har ingenting til felles med denne legitime applikasjonen. Sophos har valgt å kalle trojaneren OSX/MusMinim-A.

Oppslaget til NakedSecurity gjengir skjermbilder av hvordan trojaneren framstiller seg for offeret, og av grensesnittet som benyttes av angriperen. Språket i brukergrensesnittene bærer preg av at forfatteren har tysk som morsmål: Tysk og engelsk blandes, og i det engelske er det både bøyningsfeil og typiske stavefeil som «funktion» i stedet for «function».

Funksjonaliteten er foreløpig ikke spesielt velutviklet, og tekster i grensesnittet advarer at trojaneren vil utstyres med flere egenskaper. Infeksjon kan typisk skje ved å laste ned piratkopiert programvare. Blant «finessene» er et falskt vindu som gir seg ut for å komme fra Finder, og som ber brukeren oppgi et administrativt passord.

Mens trojanere flest prøver å holde seg skjult for offeret, inneholder denne følgende plakat:

Dette skjermbildet viser noe av angrepsgrensesnittet:

Her kan angriperen stelle til mye fandenskap.
Her kan angriperen stelle til mye fandenskap. Bilde: SophosLabs

NakedSecurity viser en lysbildeserie med skjermdumper fra trojaneren. De mener den har mye til felles med en beryktet Windows-trojaner kjent som DarkComet. Dette har utløst vrede fra DarkComets opphav, som nekter enhver befatning med så primitiv kode, samtidig som han innrømmer at han har en egen Mac-trojaner på gang, i et prosjekt han kaller DarkCometX.

Til toppen