Nye versioner af spyware fundet til OS X
Makradar Af Teknologi / / December 19, 2019
Sikkerhedseksperter har identificeret adskillige eksempler på nyligt opdagede spion KitM til Mac OS X, hvoraf den ene er rettet mod tysktalende dateret December 2012 brugere. KitM (Kumar i Mac), også kendt som HackBack, er en bagdør, som gør uautoriserede screenshots og uploade dem til en fjernserver. Det giver også adgang til skallen, så den invaderende fjende til at udføre kommandoer på den inficerede computer.
Oprindeligt var det malware fundet på MacBook angolanske aktivister, der deltager konference menneskerettighedssituationen i Oslo Freedom Forum. Det mest interessante KitM at han underskrev et gyldigt Apple Developer-id, et certifikat udstedt af Apple på nogle Rajinder Kumar. Applikationer underskrevet af Apple Developer-id, bestået Gatekeeper, indbyggede sikkerhedssystem OS X, som kontrollerer oprindelsen af filen for at bestemme dens mulige trussel mod systemet.
De første to prøver KitM, fundet i sidste uge blev forbundet til servere i Holland og Rumænien. Onsdag eksperterne F-Secure modtaget flere KitM prøver fra forskeren fra Tyskland. Disse prøver blev anvendt til de målrettede angreb i perioden fra december til februar og distribueres via phishing e-mails, der indeholder zip-filer med navne både Christmas_Card.app.zip, Content_for_Article.app.zip, Interview_Venue_and_Questions.zip, Content_of_article_for_ [NAME fjernet] .app.zip og Lebenslauf_fur_Praktitkum.zip.
Indeholdt i disse arkiver installatører KitM er en eksekverbar fil i Mach-O-format, hvis ikoner er blevet erstattet med ikoner billeder, videoer, PDF og Microsoft Word-dokumenter. En sådan et trick bruges ofte til at distribuere malware på Windows.
Alle prøver blev fundet KitM underskrevet af den samme certifikat Rajinder Kumar, som Apple Han mindede om i sidste uge, umiddelbart efter KitM afsløring, men det vil ikke hjælpe dem, der allerede inficeret.
«Gatekeeper holder en fil i karantæne, indtil han først er udført," - sagde Bogdan Botezatu, en senior analytiker hos antivirus-firma Bitdefender. "Hvis filen er blevet kontrolleret ved den første start, vil det starte og fortsætte, som Gatekeeper vil ikke foretage reeksamen. Derfor malware, der er startet en gang bruger den korrekte certifikat vil fortsætte med at fungere, og efter sin tilbagetrækning. "
Apple kan anvende en anden beskyttende funktion kaldet XProtect, at tilføje til den sorte liste over kendte KitM filer. Men ikke fundet før derefter ændre "spion" vil fortsætte med at fungere.
Den eneste måde Mac-brugere kan forhindre henrettelsen af en hvilken som helst af det underskrevne malware på din computer er at ændre indstillingerne Gatekeeper så fik lov til at køre kun de programmer, der er installeret fra Mac App Store, siger F-Secure eksperter.
Men for virksomhedens brugere, denne konfiguration er simpelthen umuligt, fordi Det gør det umuligt at bruge stort set ethvert kontor Software, og især - på deres egne virksomhedsapplikationer er udviklet til intern brug og ikke lagt ud i Mac App Store.
(via)