En trojaner er aktiv på nettet og går efter Macintosh brugere. Den hentes fra pornosites, hvor den udgiver sig for at være et Quicktime Player codec.
Trojaneren er fundet på flere pornosites, hvor Mac brugeren lokkes til at klikke på billeder for at hente film. Hvis der klikkes på et billede, sendes forespørgslen videre til et ondsindet site. Her informeres brugeren om, at Quicktime Player ikke kan vise filmen, før et nyt codec er installeret.
Så snart siden åbnes, bliver et disk image automatisk hentet ned på brugerens Mac. Hvis man som standard har markeret ”Open Safe Files After Downloading” i Safari-browseren, vil det hentede disk-image blive mounted og installationspakken blive startet. Hvis dette ikke er markeret, skal brugeren selv sætte installeringsprocessen i gang.
For at trojaneren kan blive installeret, kræver den administrator password. Dette vil give den root rettigheder og dermed fri adgang til systemet. Det skulle være unødvendigt at nævne, at der ikke installeres noget codec. Skulle man vende tilbage til den inficerede side igen, vil processen blot blive gentaget.
Når trojaneren er aktiv, benytter den ”scutil” kommandoen til at ændre Mac maskinens DNS server opsætning. Under Mac OS X 10.4 kan man ikke se denne ændring i sit GUI. Sker inficeringen i Mac OS X 10.5, vil den tilføjede DNS server kunne ses i ” Advanced Network preferences”, hvor den vises som værende nedtonet. Den kan ikke fjernes manuelt.
Trojaneren checker løbende om dens ondsindede DNS server er aktiv. Den sørger samtidig for, at det er denne DNS server som bruges aktivt.
Efter DNS ændringen vil den dirigere nogle web-forespørgsler hen til forskellige phishing sites, der til forveksling ligner Ebay, Paypal og enkelte banker. I andre tilfælde sendes brugeren til andre sites med pornografisk materiale.
Skulle man falde for et godt tilbud, på eksempelvis det uægte Ebay site, vil ens brugernavn, kodeord, kreditkort information og kontonummer blive opsnappet. Denne information bruges herefter til at hæve fra kontoen.
Der er ligeledes fundet flere forskellige udgaver af denne ”Mac DNS trojaner”. De er tilsyneladende udarbejdet til at være landespecifikke og på den måde udsætte brugeren for spoofing og phising angreb baseret på geografisk placering.
Det undersøges i øjeblikket, om andre versioner Mac OS X også kan blive inficeret, hvilket må antages at være meget sandsynligt. Kommandoen ”scutil” findes nemlig i alle udgaver.
kilde:
http://virus112.dk/dk/news/hackere_og_angreb/mac_trojaner_andrer_dns_indstillinger.html