Intego, een bedrijf gespecialiseerd in beveiliging van Macs, heeft een Trojan ontdekt in illegale versies van iWork ’09 die op internet circuleren. Enkele tienduizenden Macs zijn al geïnfecteerd volgens berichten die Intego heeft ontvangen.

Volgens de beveiliger gaat het om illegale versies van de nieuwste versie van Apples kantoorsoftware-pakket iWork ’09 die op verschillende BitTorrent-trackers en websites te vinden zijn. Hoewel de gedownloade software in eerste instantie normaal functioneert, wordt tijdens de installatie stiekem een pakket met de naam ‘iWorkServices’ meegeïnstalleerd.

Doordat deze geïntegreerd is in de installatie en de gebruiker voor de installatie zijn wachtwoord moet invoeren, geeft de gebruiker nietsvermoedend het Trojaanse paard de benodigde rechten om zijn werk te kunnen doen. Allereerst nestelt het zich in de map waar normaal gesproken alleen items van Apple staan die opstarten als het besturingssysteem opstart. Daar heeft het ook meteen root-permissie voor lezen, schrijven en uitvoeren.

Het kwaadaardige installatiebestand bevindt zich
onder de standaardpakketten van de iWork ’09-installatie.

Vervolgens verbindt de kwaadaardige software met een server op afstand om door te geven dat de betreffende Mac geïnfecteerd is. Een kwaadwillende gebruiker is vervolgens in staat om de geïnfecteerde Mac op afstand over te nemen en verschillende acties uit te voeren.

Intego waarschuwt Mac-gebruikers om de illegale versie van iWork ’09 niet te installeren. Volgens de beveiliger hebben op dit moment al meer dan 20.000 gebruikers de kwaadaardige installatie uitgevoerd. Inmiddels is gebleken dat het Trojaanse paard ook in staat is om nieuwe code te downloaden en daarmee de geïnfecteerde Mac als botnet kan laten fungeren, waarmee gedistribueerde denial of service-attacks op websites kunnen worden uitgevoerd.