Нови версии на шпионски намерени резултати за OS X

Експерти по сигурността са открили множество примери за наскоро открит шпионин KitM за Mac OS X, един от които е насочен към немскоговорящите от декември 2012 потребители. KitM (Kumar в Mac), известен също като HackBack, е вратичка, което прави непозволени снимки на екрани и да ги качвате в отдалечен сървър. Той също така предоставя достъп до корпуса, което позволява на нашественика да изпълнява команди на заразения компютър.

Първоначално злонамерен софтуер бе установено на активистите на MacBook анголски, които посещават конференция на правата на човека в Осло Свобода форум. Най-интересният KitM, че той е подписал валиден документ за самоличност Apple Developer, удостоверение, издадено от Apple на някои Rajinder Кумар. Приложения, подписани от Apple ID за разработчици, преминали Gatekeeper, вградена система за сигурност OS X, която удостоверява произхода на файла, за да се определи евентуалното му заплаха за системата.

Първите две проби KitM, открити миналата седмица са били свързани към сървъри в Холандия и Румъния. В сряда експертите F-Secure са получили повече KitM проби от изследователя от Германия. Тези проби са били използвани за целенасочени атаки през периода от декември до февруари, а разпространяват чрез фишинг имейли съдържащи ZIP-файлове с имена, както Christmas_Card.app.zip, Content_for_Article.app.zip, Interview_Venue_and_Questions.zip, Content_of_article_for_ [NAME ПРЕМАХНАТА] .app.zip и Lebenslauf_fur_Praktitkum.zip.

Съдържаща се в тези архиви монтажници KitM е изпълним файл във формат Mach-О, чиито икони са били заменени с икони изображения, видеоклипове, PDF и Microsoft Word документи. Такъв трик често се използва за разпространяване на зловреден софтуер за Windows.

Всички проби са открити KitM подписана от един и същи сертификат Rajinder Кумар, която Apple Той припомни, миналата седмица, веднага след откриване KitM, но това няма да помогне на тези, които вече имат заразен.

«Вратар пази файл под карантина, докато той е първият извършва," - каза Богдан Botezatu, старши анализатор в антивирусната компания Bitdefender. "Ако файлът е бил проверен в първия старт, той ще започне и да продължи, тъй като Gatekeeper не ще проведе повторна проверка. Ето защо, злонамерен софтуер, който вече е започнал, като използвате правилния сертификат ще продължи да работи и след неговото спиране. "

Apple може да използва различна защитна функция, наречена XProtect, за да добавите към черния списък на известни KitM файлове. Въпреки това, не е намерен преди това се промени "шпионин" ще продължи да функционира.

Единственият начин за Mac потребителите могат да попречат на изпълнението на всяко от подписания зловреден софтуер на вашия компютър, е да промените настройките Gatekeeper така че е било позволено да се изпълнява само онези приложения, които са инсталирани от Mac App Store, казват F-Secure експерти.

Въпреки това, за корпоративните потребители, тази конфигурация е просто невъзможно, защото Това прави невъзможно използването на почти всеки офис Софтуер, и по-специално - на собствените си корпоративни приложения са разработени за вътрешно ползване и не се посочва в Mac App Store.

(чрез)