นักวิจัยทางด้านความปลอดภัยจาก Sophos พบมัลแวร์บน OS X ตัวใหม่ ชื่อว่า OSX/Eleanor-A ซึ่งมีความพยายามจะเก็บรูปภาพจาก Webcam ของเครื่องและส่งไปยัง Darkweb
OSX/Eleanor-A ฝังตัวอยู่ในแอพพลิเคชัน EasyDoc Converter โดยอ้างว่าสามารถใช้ในการแปลงไฟล์ระหว่าง Windows มาเปิดบน OS X ได้ แต่เมื่อผู้ใช้งานเปิดแอพพลิเคชันมาก็จะพบแค่หน้าเปล่าไว้หลอกผู้ใช้งาน ซึ่งไม่สามารถใช้งานได้จริง แต่มัลแวร์จะพยายามฝัง Background Service ไว้ในเครื่อง เพื่อเชื่อมต่อกับผู้ไม่ประสงค์ดีภายนอก โดยลำดับการทำงานของ OSX/Eleanor-A มีดังนี้
- แฝงตัวอยู่ใน Utility ชื่อว่า EasyDoc Converter ใช้ในการแปลงไฟล์ระหว่าง Windows กับ Mac ทำให้จำนวนผู้ใช้งานเพิ่มขึ้นอย่างรวดเร็ว เนื่องจากเหยื่อจำนวนมากสามารถค้นหาผ่าน Search Engine และดาวน์โหลดมาทดลองได้อย่างง่ายดาย
- EasyDoc Converter ติดตั้งง่าย และเมื่อใช้งานไม่ได้ตามที่คาดไว้ เหยื่อก็จะลบแอพพลิเคชันทิ้ง โดยที่ไม่รู้ว่า Background Service ได้ถูกติดตั้งลงบนเครื่องไปแล้ว และ Background Service นี้ไม่ได้ถูกลบออกตาม ซึ่งในเบื้องหลัง มีการติดตั้ง Programs และ Scripts จำนวนมากลงบนเครื่อง
- Background Program #1 ใช้ในการเชื่อมต่อเข้ากับเครือข่าย Tor (The Onion Router) เพื่อทำให้เครื่องของเหยื่อสามารถเข้าถึงได้จากภายนอก นอกจากนี้ยังมีการส่งข้อมูลเครื่องไปยัง Dark Web อีกด้วย ซึ่งเรียกว่า “hidden service”
- Background Program #2 เป็น PHP administration script เพื่อให้ผู้ไม่ประสงค์ดีสามารถเข้าถึงไฟล์ทั้งหมดจาก Web browser ภายนอกได้
- Background Program #3 ทำการอัพโหลดชื่อของ hidden service ที่สร้างขึ้น ไปยังบัญชี Pastebin เพื่อเป็นการส่งข้อมูลช่องทางสำหรับเข้าถึงเครื่องให้แฮ็คเกอร์รู้
- มัลแวร์ตัวนี้มีการติดตั้ง Utility หลายตัวเพื่อใช้ในการทำงาน เช่น Netcat เพื่อใช้ในการรับส่งข้อมูลผ่านเครือข่าย และหนึ่งใน Utility ที่ติดตั้งคือ Wacaw ซึ่งในการถ่ายภาพและวิดีโอจาก Webcam ของเครื่อง หลังจากนั้นจะใช้ PHP-based image browsing tool เพื่อดูรูปและดาวน์โหลดจากภายนอกได้ แต่ Wacaw นั้นเป็นเครื่องมือที่ค่อนข้างเก่า ไม่สามารถใช้ได้บน OS X เวอร์ชันล่าสุด แต่อย่างไรก็ตาม PHP admin shell สามารถทำให้ผู้ไม่ประสงค์ดีสามารถอัพโหลดเครื่องมืออื่นๆเข้ามายังเครื่องของเหยื่อได้ ซึ่งในอนาคตอาจจะมีเครื่องมือตัวใหม่มาแทน Wacaw ก็เป็นได้
มัลแวร์ตัวนี้น่าสนใจตรงที่มีการใช้เครื่องมือต่างๆที่เปิดให้ใช้งานฟรีและใช้กันเป็นวงกว้างอยู่แล้วมาสร้างเป็นมัลแวร์ โดยการติดตั้งก็ไม่จำเป็นต้องใช้สิทธิ Administrator ในการรันแต่อย่างใด ซึ่งระหว่างการติดตั้งก็ไม่จำเป็นต้องใส่รหัสผ่านของ Administrator อีกด้วย
ทาง Sophos แนะนำ ให้ตั้งค่าเพื่ออนุญาตให้ติดตั้งเฉพาะแอพพลิเคชันที่ผ่านการลงทะเบียนกับ Apple Developer หรือ Mac App Store เท่านั้นจึงจะปลอดภัย แต่อย่างไรก็ตามผู้ไม่ประสงค์ดีสามารถทำการขโมย Developer keys มาใช้กับมัลแวร์ของตนเพื่อให้ผ่านกระบวนการนี้ได้ ผู้ใช้งานควรระมัดระวังอยู่เสมอในการติดตั้งแอพพลิเคชันต่างๆลงบนเครื่องทุกครั้ง