Chuyên gia Costin Raiu của Kaspersky Lab đã đặt tên cho Trojan mới là Backdoor.OSX.SabPub.a (nói ngắn gọn là SabPub). Đặc trưng của SabPub là khai thác lỗ hổng Java để xâm nhập máy tính Mac, kết nối đến một trang web ở xa sau đó chờ đợi chỉ dẫn từ hacker. Trong số những việc mà SabPub có thể làm bao gồm cả việc chụp lại màn hình của người dùng và chạy nhiều câu lệnh ở cấp cao.

“Những lỗ hổng Java mà SabPub khoan phá đều rất phổ biến. Nó lại núp bóng ZelixKlassMaster, một chương trình Obfuscator Java rất linh hoạt và mạnh mẽ để tránh tai mắt của các phần mềm chống mã độc”, ông Raiu cho biết.

Phát hiện của Raiu được công bố trong bối cảnh người dùng Mac đang được báo động đỏ về một Trojan có tên Flashback mà theo thông tin ban đầu, đã lây nhiễm tới hơn 600.000 máy tính Mac trên toàn cầu. Flashback cũng khai thác lỗ hổng Java để đánh cắp mật khẩu và thông tin từ trình duyệt web của người dùng. Tuần trước, Apple đã phát hành một công cụ xóa Flashback khỏi các máy tính bị nhiễm và dự đoán chỉ còn khoảng 270.000 máy tính Mac là nạn nhân của Trojan này, giảm đáng kể so với giai đoạn đỉnh điểm.

Theo phân tích của Raiu, SabPub có một số điểm khác biệt so với Flashback. Hiện đang có ít nhất hai biến thể của Trojan này đang phát tán trên mạng, trong đó có một biến thể xuất hiện từ hồi tháng Hai. Chúng được tung ra theo các vụ tấn công có mục tiêu chứ không lây nhiễm tràn lan giống Flashback.

Biến thể thứ hai, khá thú vị, lại có vẻ như được phát tán dưới dạng một tài liệu Word, Raiu tiết lộ.