Onderzoekers hebben een nieuwe backdoor voor Mac OS X ontdekt die zeer vermoedelijk bij gerichte aanvallen zijn ingezet. Het bestaan van de backdoor werd op een mailinglist voor anti-virusbedrijven aangekondigd. Volgens Mac-beveiligingsbedrijf Intego ontbreken veel details, maar is wel bekend dat het om een kleine, 'simplistische' dreiging gaat.

De gebruikte backdoor zou op een aangepaste OpenSSH 6.0p1 distributie zijn gebaseerd. "Er wordt aangenomen dat dit een gerichte aanval was, mogelijk geïnstalleerd via een exploit", aldus Lysa Myers.De malware versleutelt het verkeer tussen de besmette computer en Command & Control-server met een RSA-sleutel.

Twitter
Het exemplaar werd volgens het Finse anti-virusbedrijf F-Secure op 31 januari naar de website VirusTotal voor analyse gestuurd. Deze website gebruikte de scan-engines van zo'n 40 virusscanners om malware te detecteren. Een dag later kondigde Twitter aan dat het gehackt was.

Ook F-Secure denkt dat de aangepaste SSH daemons zeer waarschijnlijk via een exploit zijn geïnstalleerd. Mogelijk gaat het om de Java-exploit die op een website voor mobiele ontwikkelaars werd gehost. Facebook waarschuwde dit weekend dat een aantal werknemers die deze website hadden bezocht via een beveiligingslek in Java geïnfecteerd waren geraakt.

Broncode
Door het infecteren van ontwikkelaars zouden de aanvallers in theorie de broncode van allerlei software kunnen aanpassen, waarschuwt Sean Sullivan van F-Secure. Hij adviseert ontwikkelaars van wie de Mac-computer is gecompromitteerd om goed de broncode op ongewenste aanpassingen door te spitten.