Uusia versioita vakoiluohjelmia löytynyt OS X

Tietoturva-asiantuntijat ovat tunnistaneet useita esimerkkejä äskettäin löydetty vakooja KitM Mac OS X, joista yksi on suunnattu saksankielisissä, joulukuu 2012 käyttäjille. KitM (Kumar Mac), joka tunnetaan myös nimellä HackBack, on takaportti, joka tekee luvaton kuvakaappauksia ja lähettää ne etäpalvelimeen. Se tarjoaa pääsyn myös kuoren, joka mahdollistaa hyökkääjäoligonukleotidi suorittaa komentoja tartunnan saaneen tietokoneen.

Alunperin haittaohjelma havaittiin MacBook Angolan aktivisteja, jotka osallistuvat ihmisoikeuksien Oslossa Freedom Forum. Mielenkiintoisin KitM että hän allekirjoitti voimassa Apple Developer ID, antama todistus Apple joitakin Rajinder Kumar. Sovellukset Applen allekirjoittamia Developer tunnus, läpäissyt Gatekeeper, sisäänrakennettu turvajärjestelmä OS X, mikä varmistaa alkuperä tiedoston määrittää sen uhan järjestelmään.

Ensimmäiset kaksi näytettä KitM, löytyi viime viikolla olivat yhteydessä palvelimiin Alankomaissa ja Romaniassa. Keskiviikkona asiantuntijat F-Secure sai lisää KitM näytteitä tutkijan Saksasta. Näitä näytteitä käytettiin kohdennetut hyökkäykset kaudella joulukuusta helmikuuhun, ja jaellaan phishing sisältävä zip-tiedostoja, joiden nimet molemmat Christmas_Card.app.zip, Content_for_Article.app.zip, Interview_Venue_and_Questions.zip, Content_of_article_for_ [NAME poistetaan] .app.zip ja Lebenslauf_fur_Praktitkum.zip.

Näissä arkistoissa asentajien KitM on suoritettava tiedosto on Mach-O-muodossa, joiden kuvakkeet on korvattu kuvakkeet kuvia, videoita, PDF ja Microsoft Word-asiakirjoja. Tällainen temppu käytetään usein levittämään haittaohjelmia Windows.

Kaikki näytteet löytyivät KitM allekirjoittaneet samat todistus Rajinder Kumar, joka Apple Hän muistutti viime viikolla, heti KitM havaitsemisen, mutta se ei auta niitä, jotka ovat jo tartunnan.

«Gatekeeper pitää tiedoston karanteenissa, kunnes hän on ensin suoritettu," - sanoi Bogdan Botezatu, vanhempi analyytikko virustentorjujana Bitdefender. "Jos tiedosto on tarkastettu ensimmäisen käynnistyksen, se alkaa ja jatkuu, kuten Gatekeeper ei tehdä uudelleen käsiteltäväksi. Siksi haittaohjelma, joka on käynnistetty kerran käyttäen oikeaa varmennetta jatkaa toimintaansa ja sen lopettamisen jälkeen. "

Apple voi käyttää eri suojaava ominaisuus nimeltä XProtect, lisätä mustan listan tunnetuista KitM tiedostoja. Kuitenkaan ole löytynyt ennen muuta sitten "vakooja" jatkaa toimintaa.

Ainoa tapa Mac-käyttäjät voivat estää suorituksen tahansa allekirjoitetun haittaohjelmia tietokoneeseen on muuttaa asetuksia portinvartija jotta annettiin edetä vain ne hakemukset, jotka on asennettu Mac App Storesta, sanovat F-Secure asiantuntijoita.

Kuitenkin yrityskäyttäjien, tämä kokoonpano on yksinkertaisesti mahdotonta, koska Se tekee mahdottomaksi käyttää lähes mihin tahansa toimistossa Ohjelmisto, ja erityisesti - oman yrityksen sovellukset on kehitetty sisäiseen käyttöön eikä säädettyihin Mac App Store.

(kautta)