Изследователски компании в областта на компютърната сигурност предупредиха за нов троянски кон за Mac, който е маскиран като PDF файл.

Зловредният софтуер, открит от компанията от Обединеното кралство Sophos и финландската F-Secure, използва техника, дълго време прилагана от атакуващите операционни системи Windows.

Атаката се състои в отваряне на файл с разширение „.pdf.exe” и икона PDF.

Практиката разчита на трика, наречен „двойно разширение”, който представлява добавяне на знаците „.pdf” към името с цел дегизиране на изпълнителния файл.

Зловредният файл изпълнява процес, състоящ се от две стъпки. Първата е приспособление „dropper”, което сваля втори елемент – „backdoor”. Последният се свързва с отдалечен сървър, контролиран от атакуващия, който използва комуникационния канал за да изпраща до хакера информация от компютъра и за да получава команди.

Този троянски кон не използва уязвимост в Mac OS X, нито в друг софтуер, поради което е необходимо да бъде свален на компютъра и потребителят да отвори изпълним файл, маскиран като популярен формат.

Веднъж свален, първият елемент сваля втория и отваря китайско езичен PDF файл, който е „спуснат” в папката /tmp. Целта му е да отклони вниманието на потребителя от появяващите се други дейности на компютъра.

Sophos и F-Secure съобщават, че зловредният софтуер не работи надеждно и не винаги установява връзка с командния сървър, защото последният не е пълнофункционален.