Nowe wersje oprogramowania szpiegującego znalezione dla OS X
Makradar Technologii / / December 19, 2019
Eksperci zidentyfikowali liczne przykłady niedawno odkrytej szpiegowskiej KitM dla Mac OS X, z których jeden ma na celu niemieckojęzycznych z grudnia 2012 użytkowników. KitM (Kumar w Mac), znany również jako HackBack, jest backdoor, który sprawia, że nieautoryzowane zdjęcia i przesłać je do zdalnego serwera. Zapewnia również dostęp do powłoki, umożliwiające najeźdźcą wykonywanie poleceń na zainfekowanym komputerze.
Początkowo stwierdzono szkodliwego oprogramowania na działaczy MacBook Angoli, którzy uczestniczą w konferencji praw człowieka w Oslo Freedom Forum. Najciekawszym KitM że podpisał ważnego identyfikatora Apple Developer zaświadczenie wydane przez Apple na jakiś Rajinder Kumar. Aplikacje podpisane przez Apple ID Developer wrzucił Gatekeeper, wbudowany system bezpieczeństwa OS X, która weryfikuje pochodzenie pliku, aby określić jego potencjalne zagrożenie dla systemu.
Pierwsze dwie próbki KitM, znalezionych w ubiegłym tygodniu były podłączone do serwerów w Holandii i Rumunii. W środę, eksperci F-Secure otrzymał więcej próbek KitM od naukowca z Niemiec. Próbki te zostały wykorzystane do ukierunkowanych ataków w okresie od grudnia do lutego, a dystrybuowane poprzez e-maile phishingowe ZIP zawierający pliki z nazwami zarówno Christmas_Card.app.zip, Content_for_Article.app.zip, Interview_Venue_and_Questions.zip, Content_of_article_for_ [NAZWA usunięte] .app.zip i Lebenslauf_fur_Praktitkum.zip.
Zawarte w tych archiwów instalatorów KitM jest plikiem wykonywalnym w formacie Mach-O, którego ikony zostały zastąpione ikonami obrazów, filmów, PDF i dokumentów Microsoft Word. Taka sztuczka jest często wykorzystywane do rozpowszechniania złośliwego oprogramowania w systemie Windows.
Wszystkie próbki zostały znalezione KitM podpisany przez samego certyfikatu Rajinder Kumar, które firmy Apple Przypomniał w zeszłym tygodniu, natychmiast po wykryciu KitM, ale to nie pomoże tym, którzy już mają zainfekowany.
«Gatekeeper trzyma plik w kwarantannie do czasu, gdy po raz pierwszy w wykonaniu” - powiedział Bogdan Botezatu, starszy analityk w firmie antywirusowego Bitdefender. „Jeżeli plik został sprawdzony przy pierwszym uruchomieniu, będzie ona rozpocząć i kontynuować, jak Gatekeeper nie przeprowadzi ponowną analizę. Dlatego złośliwego oprogramowania, które zostało rozpoczęte po użyciu odpowiedniego certyfikatu będzie nadal działać i po jego odstawieniu. "
Apple może używać różnych funkcji ochronnej o nazwie XProtect, aby dodać do czarnej listy znanych plików KitM. Jednak nie znaleziono przed następnie zmodyfikować „szpieg” będzie nadal działać.
Jedynym sposobem, użytkownicy komputerów Mac mogą uniemożliwić wykonanie dowolnego podpisanego złośliwego oprogramowania na komputerze jest zmiana ustawień portier tak że pozwolono działać tylko te aplikacje, które zostały zainstalowane z Mac App Store, mówią eksperci firmy F-Secure.
Jednak dla użytkowników korporacyjnych, ta konfiguracja jest po prostu niemożliwe, ponieważ To sprawia, że niemożliwe do zastosowania praktycznie każdy urząd Oprogramowanie, a zwłaszcza - z własnej aplikacji dla przedsiębiorstw zostały opracowane do użytku wewnętrznego i nie określonymi w aplikacji Mac Sklep.
(przez)