Nye versjoner av spyware funnet for OS X

Sikkerhetseksperter har identifisert en rekke eksempler på nylig oppdaget spion KitM for Mac OS X, hvorav den ene er rettet mot tysktalende datert desember 2012 brukere. KitM (Kumar i Mac), også kjent som HackBack, er en bakdør, noe som gjør uautoriserte skjermbilder og laste dem opp til en ekstern server. Den gir også adgang til skallet, slik at inntrenger for å utføre kommandoer på den infiserte datamaskinen.

Opprinnelig malware ble det funnet på MacBook angolanske aktivister som deltar menneskerettighetskonferanse i Oslo Freedom Forum. Det mest interessante KitM at han signerte en gyldig Apple Developer ID, et sertifikat utstedt av Apple på noen Rajinder Kumar. Søknader signert av Apple Developer ID fattet Gatekeeper, innebygd sikkerhetssystem OS X, som bekrefter opprinnelsen til filen for å fastslå mulig trussel mot systemet.

De to første prøvene KitM, fant i forrige uke var koblet til servere i Nederland og Romania. På onsdag, ekspertene F-Secure mottatt flere KitM prøver fra forsker fra Tyskland. Disse prøvene ble brukt til målrettede angrep i perioden fra desember til februar, og distribueres gjennom phishing e-post som inneholder zip-filer med navn både Christmas_Card.app.zip, Content_for_Article.app.zip, Interview_Venue_and_Questions.zip, Content_of_article_for_ [navn fjernet] .app.zip og Lebenslauf_fur_Praktitkum.zip.

I disse arkivene installatører KitM er en kjørbar fil i Mach-O-format, hvis ikoner har blitt erstattet med ikoner bilder, videoer, PDF og Microsoft Word-dokumenter. Et slikt triks er ofte brukt til å distribuere skadelig programvare på Windows.

Alle prøvene ble funnet KitM signert av samme sertifikat Rajinder Kumar, som Apple Han mintes forrige uke, umiddelbart etter KitM deteksjon, men det vil ikke hjelpe de som allerede har infisert.

«Gatekeeper holder en fil i karantene inntil han blir urfremført," - sa Bogdan Botezatu, senior analytiker i antivirusselskapet Bitdefender. "Hvis filen har blitt sjekket ved første oppstart, vil den starte og fortsette som Gatekeeper vil ikke foreta ny undersøkelse. Derfor malware som har blitt startet en gang med riktig sertifikat vil fortsette å operere og etter tilbaketrekning. "

Apple kan bruke en annen beskyttende funksjon kalt XProtect, for å legge til den svarte listen over kjente KitM filer. Men ikke funnet før da endre "spion" vil fortsette å fungere.

Den eneste måten Mac-brukere kan hindre kjøring av noen av de signert malware på datamaskinen din, er å endre innstillingene Gatekeeper så det var lov til å kjøre bare de programmene som er installert fra Mac App Store, sier F-Secure eksperter.

Men for bedriftsbrukere, er denne konfigurasjonen rett og slett umulig, fordi Det gjør det umulig å bruke godt som alle kontor Programvare, og spesielt - av sine egne bedriftsapplikasjoner er utviklet for internt bruk, og ikke lagt ut i Mac App Store.

(via)