Office-dokumenter brukes for å infisere maskiner med OS X.
Advarer mot SabPub
Trojaneren døpt «Backdoor.OSX.SabPub.a» utnytter kun svakheter på en Mac – i dette tilfellet ved hjelp av Office-programvarepakken til Microsoft og Oracles Java.
Trojaneren er ikke ny, men ble avslørt allerede for en måned siden. Den sprer seg som Flashback ved å utnytte et hull i Java. Hullet medfører at den ikke fanges opp av sikkerhetsprogramvare, og brukeren blir infisert ved å laste inn det infiserte Office-dokumentet.
Les også: Denne må du installere om du bruker Mac.
Annonse
Prøver å lage botnet
Når trojaneren har infisert maskinen søker den etter dokumenter på offerets maskin – trolig i et forsøk på å laste opp dokumentene på hackernes egne servere.
Maskinene som er infisert blir automatisk medlem i hackernes botnet. Enkelt forklart kan hackerne ved hjelp av et botnet styre mange infiserte maskiner og bruke dem i målrettede angrep.
Fra Kina?
Det er ikke umulig at trojaneren har opphav i Kina da den infiserte .doc-filens originale filnavn er «10th March Statemnet».
Dette er en referanse til Dalai Lama og Tibet. Tibets åndelige leder, Dalai Lama, holdt nemlig en tale i forbindelse med et Tibet-jubileum. Kina anerkjenner ikke Tibet som en selvstendig nasjon. Det har også tidligere vært spekulert i om Kinesiske hackere angriper Tibet-vennlige nettbrukere.
Kilder:
Securelist
Securelist
