Nove verzije spyware nađeni za OS X

Sigurnosni stručnjaci su identificirali brojne primjere nedavno otkriveni špijun KitM za Mac OS X, od kojih je jedan cilj njemačkog govornog područja od prosinca 2012 korisnici. KitM (Kumar u Mac), također poznat kao HackBack je backdoor, što čini neovlaštene snimke te ih prenijeti na udaljeni poslužitelj. Ona također omogućuje pristup ljuske, omogućujući osvajač za izvršenje naredbi na zaraženom računalu.

Izvorno malware utvrđeno je na MacBook angolskim aktivista koji sudjeluje na konferenciji za ljudska prava u Oslo Freedom Foruma. Najzanimljiviji KitM da je potpisao valjani Apple Developer ID, potvrdu izdanu od strane Apple na neki Rajinder Kumar. Prijave koje su potpisali Apple Developer ID, prošao vratara, izgrađen-in sigurnosti sustava OS X, koji provjerava porijeklo datoteke kako bi se utvrdilo njegovo moguće prijetnju sustavu.

Prva dva uzorka KitM, pronađena prošlog tjedna bili spojeni na servere u Nizozemskoj i Rumunjskoj. U srijedu, stručnjaci F-Secure je primio više uzoraka KitM od istraživača iz Njemačke. Ovi uzorci su korišteni za ciljane napade u razdoblju od prosinca do veljače, a distribuira se putem phishing e-mailove koji sadrže zip-datoteka s imenima i Christmas_Card.app.zip, Content_for_Article.app.zip, Interview_Venue_and_Questions.zip, Content_of_article_for_ [ime ukloni] .app.zip i Lebenslauf_fur_Praktitkum.zip.

Sadržan u tim arhivske instalatera KitM je izvršna datoteka u Mach-O formatu, čije ikone su zamijenjene ikone slike, video, PDF i Microsoft Word dokumenata. Takav trik često koristi za distribuciju zlonamjernog softvera na Windowsima.

Svi uzorci su pronađeni KitM potpisuje isti certifikat Rajinder Kumar, a njemu Apple Podsjetio je prošlog tjedna, odmah nakon otkrivanja KitM, ali to neće pomoći onima koji su već zaraženo.

«Vratar čuva datoteku u karantenu sve do trenutka kad je prvi put izvedena,” - rekao je Bogdan Botezatu, viši analitičar u antivirusni tvrtke BitDefender. „Ako je datoteka provjerava na prvom početku, počet će i dalje, kao što je Vratar neće provoditi preispitivanja. Dakle, zlonamjernih programa koji je pokrenut nakon što koristite ispravnu potvrdu da će nastaviti raditi i nakon njegova povlačenja. "

Apple može koristiti različite zaštitne značajku pod nazivom XProtect, dodati na crnoj listi poznatih KitM datoteka. Međutim, ne prije nađe onda mijenjati „špijun” će i dalje funkcionirati.

Jedini način Mac korisnici mogu spriječiti izvršenje bilo potpisanog zlonamjernih programa na računalu za promjenu postavki vratar tako da se pusti proći samo one programe koji su instalirani iz Mac App Store, recimo F-Secure stručnjaka.

Međutim, za poslovne korisnike, ova konfiguracija je jednostavno nemoguće, jer To ga čini nemoguće koristiti gotovo bilo uredu Softver, a posebno - od njihova vlastita poslovnih aplikacija razvijena za internu upotrebu i ne položeni u Mac App Store.

(preko)