Nové verzie spyware nájdených pre OS X.

Bezpečnostné experti identifikovali rad príkladov nedávno objavil špionážne KitM pre Mac OS X, z ktorých jedna je zameraná na nemecky hovoriacich z decembra 2012 užívateľov. KitM (Kumar v Mac), tiež známy ako HackBack, je backdoor, ktorý umožňuje neoprávnené obrazovky a nahrať ich na vzdialený server. Poskytuje tiež prístup k plášťu, čo umožňuje útočník spúšťať príkazy v infikovanom počítači.

Pôvodne malware bolo zistené na aktivistov MacBook angolských, ktorí sa zúčastňujú konferencie o ľudských právach v Oslo Freedom Forum. Najzaujímavejšie KitM že podpísal platný Apple Developer ID, certifikát vydaný spoločnosťou Apple na nejakom Rajinder Kumar. Žiadosti podpísanej Apple Developer ID, prešiel vrátnik, vstavané zabezpečenie systému OS X, ktorý overuje pôvod súboru za účelom zistenia možného ohrozenia systému.

Prvé dve vzorky KitM, našiel minulý týždeň boli pripojené k serverom v Holandsku a Rumunsku. V stredu odborníci F-Secure dostala viac vzoriek KitM od výskumníka z Nemecka. Tieto vzorky boli použité pre cielené útoky počas období od decembra do februára, a distribuované prostredníctvom podvodných e-mailov obsahujúcich ZIP súbory s menami obaja Christmas_Card.app.zip, Content_for_Article.app.zip, Interview_Venue_and_Questions.zip, Content_of_article_for_ [meno odstránené] .app.zip a Lebenslauf_fur_Praktitkum.zip.

Obsiahnuté v tieto archívy inštalačných programov KitM je spustiteľný súbor vo formáte Mach-O, ktorých ikony boli nahradené ikony obrázkov, videí, PDF a dokumenty Microsoft Word. Taký trik je často používaný na distribúciu škodlivého softvéru v systéme Windows.

Všetky vzorky boli nájdené KitM podpísané rovnakým certifikátom Rajinder Kumar, ktorý Apple Spomenul si na minulý týždeň, bezprostredne po zistení KitM, ale to nepomôže tým, ktorí už infikovaný.

«Gatekeeper udržuje súbor v karanténe až do tej doby, než mu je najprv hral," - povedal Bogdan Botezatu, analytik u antivírusové spoločnosti BitDefender. "Ak bol súbor bol skontrolovaný pri prvom štarte, začne aj naďalej, as Gatekeeper nebude vykonávať preskúmanie. Z tohto dôvodu, malware, ktorý už bol zahájený, akonáhle používate správny certifikát, bude aj naďalej pôsobiť a po jej vysadení. "

Apple môže použiť inú ochrannú funkciu nazvanú XProtect, pridať na čiernu listinu známych KitM súborov. Avšak, nebol nájdený dovtedy zmeniť "špióna", bude aj naďalej fungovať.

Jediný spôsob, ako Mac užívatelia môžu zabrániť spusteniu ktorékoľvek z podpísaného malware v počítači, ak je zmeniť nastavenia Gatekeeper takže sa nechá prebiehať iba tie aplikácie, ktoré boli nainštalované z Mac App Store, povedzme F-Secure odborníkmi.

Avšak, pre podnikových užívateľov, táto konfigurácia je jednoducho nemožné, pretože To znemožňuje používať prakticky žiadnu funkciu Software, a to najmä - z vlastnej podnikové aplikácie boli vyvinuté pre vnútorné použitie a nie stanovené v Mac App Store.

(via)