Nove različice spyware iskanja za OS X
Makradar Tehnologije / / December 19, 2019
Varnostni strokovnjaki so ugotovili številne primere pred kratkim odkrili vohun KitM za Mac OS X, od katerih eden je namenjen nemško govoreči iz decembra 2012 uporabniki. KitM (Kumar v Mac), znan tudi kot HackBack, je backdoor, ki omogoča nepooblaščeno zaslona in jih naložite na oddaljenem strežniku. Prav tako omogoča dostop do lupine, ki omogoča okupator izvršiti ukaze na okuženem računalniku.
Prvotno malware je bilo ugotovljeno na aktivistov MacBook Angole, ki obiskujejo konferenci o človekovih pravicah v Oslo svobode foruma. Najbolj zanimivo KitM, da je podpisal veljavno Apple Developer ID, potrdilo, ki ga Apple izdal na neki Rajinder Kumar. Vloge, ki jih Apple Developer ID, posredovan Vratar podpisala, vgrajeni varnostni sistem OS X, ki preveri izvor datoteke ugotoviti morebitno ogrožanje sistema.
Prva dva vzorca KitM, je pokazala, prejšnji teden so bile povezane s strežniki na Nizozemskem in v Romuniji. V sredo, strokovnjaki F-Secure je prejel več vzorcev KitM od raziskovalca iz Nemčije. Ti vzorci so bili uporabljeni za usmerjenih napadov v obdobju od decembra do februarja, in posreduje prek lažnih e-pošte, ki vsebuje poštne datoteke z imeni tako Christmas_Card.app.zip, Content_for_Article.app.zip, Interview_Venue_and_Questions.zip, Content_of_article_for_ [NAME odstranjena] .app.zip in Lebenslauf_fur_Praktitkum.zip.
Vsebovane v teh arhivov monterji KitM je izvršljiva datoteka v formatu Mach-O, katere ikone so zamenjali z ikonami slik, video posnetkov, PDF in dokumentov Microsoft Word. Tak trik se pogosto uporablja za distribucijo škodljive programske opreme v okolju Windows.
Vsi vzorci so našli KitM podpisala istega potrdila Rajinder Kumar, ki je Apple Spomnil je prejšnji teden, takoj po odkritju KitM, vendar to ne bo pomagalo tistim, ki so že okužena.
"Vratar ohranja datoteke v karanteni do takrat, ko se je prvič izvedli," - je dejal Bogdan Botezatu, višji analitik pri protivirusno podjetje BitDefender. "Če je bila datoteka preveriti pri prvem zagonu, se bo začeti in nadaljevati, kot je Vratar ne bo izvedla ponovni pregled. Zato, malware, da se je začelo, ko z uporabo ustreznega certifikata, bo še naprej delovala in po njenem umiku. "
Apple lahko uporabijo drugačno zaščitno funkcijo, imenovano XProtect, da dodate na črni seznam znanih KitM datotek. Vendar pa ne najde pred tem spremeniti "vohuna", bo še naprej funkcijo.
Edini način, da Mac uporabniki lahko prepreči usmrtitev koli podpisanega zlonamerne programske opreme na računalniku, da spremenite nastavitve Vratar tako da je bilo dovoljeno, da delujejo samo tiste aplikacije, ki so bili nameščeni na Mac App Store, recimo F-Secure strokovnjaki.
Vendar pa je za poslovne uporabnike, ta podoba je preprosto nemogoče, ker To onemogoča uporabo skoraj vsak urad Programska oprema, in predvsem - od njihove lastne poslovne aplikacije razvite za interno uporabo in ne določena v Mac App Trgovina.
(preko)