Új verzióit spyware találtunk OS X
Makradar A Technológia / / December 19, 2019
Biztonsági szakértők azonosították számos példát nemrégiben felfedezett kém KitM Mac OS X, amelyek közül az egyik célja, hogy a német nyelvű kelt december 2012 felhasználók számára. KitM (Kumar a Mac), más néven HackBack, egy hátsóajtó, ami jogosulatlan screenshotok és töltse fel őket egy távoli szerverre. Azt is hozzáférést biztosít a shell, amely lehetővé teszi a támadó parancsokat futtat a fertőzött számítógépen.
Eredetileg malware azt találtuk, a MacBook angolai aktivisták, akik részt vesznek az emberi jogok konferencián Oslo Freedom Forum. A legérdekesebb KitM hogy ő írta alá egy érvényes Apple Developer ID által kiállított igazolást az Apple néhány Rajinder Kumar. Alkalmazások által aláírt Apple Developer ID, letette a Gatekeeper, beépített biztonsági rendszer OS X, amely ellenőrzi az eredete a fájlt, hogy meghatározza a lehetséges veszélyt a rendszerre.
Az első két minta KitM talált múlt héten csatlakozik szerverek Hollandiában és Romániában. Szerdán, a szakértők az F-Secure kapott több KitM mintát a kutató Németországból. Ezeket a mintákat alkalmaztuk a célzott támadások időszakban decembertől februárig, és terjesztette adathalász e-maileket tartalmazó zip-fájl nevek Mindkét Christmas_Card.app.zip, Content_for_Article.app.zip, Interview_Venue_and_Questions.zip, Content_of_article_for_ [NAME eltávolítva] .app.zip és Lebenslauf_fur_Praktitkum.zip.
Ezekben archívumok szerelők KitM egy végrehajtható fájlt a Mach-O formátum, melynek ikonok már ikonokra képek, videók, PDF és a Microsoft Word dokumentumokat. Ilyen trükk gyakran használják, hogy a malware Windows-on.
Minden mintát találtak KitM által aláírt igazolást ugyanazon Rajinder Kumar, amely az Apple Felidézte a múlt héten, azonnal KitM feltárása, de ez nem segít azoknak, akik már fertőzött.
«Gatekeeper tartja a fájl karanténba, amíg ő ősbemutatója” - mondta Bogdan Botezatu, a vezető elemzője antivírus cég Bitdefender. „Ha a fájl már ellenőrizte az első start, akkor elindul, és továbbra is, mint Gatekeeper nem folytat felülvizsgálatot. Ezért rosszindulatú program, amely már megkezdődött egyszer a megfelelő tanúsítvány továbbra is működik, és annak megvonása után. "
Apple használjon egy másik biztonsági funkciója a hívott XProtect, hogy egészítsék ki a fekete lista az ismert KitM fájlokat. Azonban nem találtak addig módosítsa „kém” továbbra is működik.
Az egyetlen módja, Mac felhasználók kivégzésének megakadályozására bármely aláírt malware számítógépen, hogy módosítsa a beállításokat portás úgyhogy hagyjuk futni csak azok a pályázatok, amelyek telepítve a Mac App Store-ban, mondjuk az F-Secure szakértők.
Azonban a vállalati felhasználók számára, ez a konfiguráció egyszerűen lehetetlen, mert Ez lehetetlenné teszi, hogy használja bármilyen irodai Software, és különösen - a saját vállalati alkalmazások számára kifejlesztett belső használatra, és nem az abban meghatározott Mac App Store.
(keresztül)