Pierwszy z nich wykorzystuje ważną lukę w narzędziu systemowym Apple Remote Desktop Agent. Ta luka pochodzi stąd, że ARDAgent uruchamia Applescript z uprawnieniami systemowymi, zatem po instalacji tego rootkita nie jest wymagane żadne dodatkowe uwierzytelnienie, by napastnik miał zdalny dostęp do skompromitowanego systemu. Eksploit został nazwany "wzorcem tworzenia koni trojańskich przy użyciu Applescript", zaś twórcami są pasjonaci bezpieczeństwa skupieni przy forum MacShadows.com. Obecnie nie wykryto żadnych tego typu programów krążących w środowisku, ale można oczekiwać pojawienia się pewnych jego mutacji.

Drugim koniem trojańskim jest program PokerGame. Jest to skrypt powłoki dystrybuowany jako oprogramowanie. Gdy zostanie uruchomiony, uruchamia połączenie SSH z maszyny do serwera twórców i wysyła skróty kryptograficzne użytkowników i haseł oraz adres IP skompromitowanego komputera. Następnie wyświetla komunikat żądając podania hasła administratora w celu naprawy rzekomo uszkodzonego programu. Po uzyskaniu hasła, oprogramowanie umożliwia włamywaczowi zdalny dostęp z uprawnieniami systemowymi.

Więcej o bezpieczeństwie

Zabezpiecz się za darmo - 10 aplikacji które ocalą twój system

Rootkit ukryty w procesorze

Rootkit: intruz nie do wykrycia?