De nieuwe malware, genaamd BackdoorMAC.Eleanor, is ontdekt door onderzoekers van Bitdefender en wordt meegestuurd met een applicatie genaamd EasyDoc Converter. De applicatie werkt de indruk dat gebruikers documenten kunnen converteren maar de interface is nep en werkt dus niet.

Op de achtergrond wordt ondertussen een shell-script gedraaid dat verschillende malafide componenten installeert in een map genaamd "/Users/$USER/Library/.dropbox". De Dropbox-naam wordt gebruikt om minder verdacht over te komen en heeft niets te maken met clouddienst.

Plaatsen backdoor

Ealanor bestaat uit drie componenten. Een web-service met een PHP-applicatie, een verborgen Tor-dienst waarmee aanvallers anoniem verbinding kunnen maken met de Mac, en een agent die Tor-toegangs-URL's post op de Pastebin website.

De PHP-applicatie is de echte backdoor en geeft aanvallers de mogelijkheid bestanden te bekijken, hernoemen, verwijderen, uploaden, downloaden en te archiveren. Bovendien kunnen aanvallers ook specifieke shellcommando's uitvoeren en verbinding maken met MySQL-, SQLite- en andere databases. Ten slotte kunnen aanvallers ook e-mails met bijlagen sturen en de webcam gebruiken voor het maken van video's en screenshots.

Wegklikken

Het zal gelukkig niet zo'n vaart lopen met het aantal besmettingen aangezien de applicatie niet is ondertekend met een, door Apple goedgekeurd, certificaat. Als gebruikers deze applicatie proberen te installeren, zullen ze een extra handeling moeten doen en een waarschuwing weg moeten klikken.