Nové verze spyware nalezených pro OS X.

Bezpečnostní experti identifikovali řadu příkladů nedávno objevil špionážní KitM pro Mac OS X, z nichž jedna je zaměřena na německy mluvících z prosince 2012 uživatelů. KitM (Kumar v Mac), také známý jako HackBack, je backdoor, který umožňuje neoprávněné obrazovky a nahrát je na vzdálený server. Poskytuje také přístup k plášti, což umožňuje útočník spouštět příkazy v infikovaném počítači.

Původně malware bylo zjištěno na aktivisty MacBook angolských, kteří se účastní konference o lidských právech v Oslo Freedom Forum. Nejzajímavější KitM že podepsal platný Apple Developer ID, certifikát vydaný společností Apple na nějakém Rajinder Kumar. Žádosti podepsané Apple Developer ID, prošel vrátný, vestavěné zabezpečení systému OS X, který ověřuje původ souboru za účelem zjištění možného ohrožení systému.

První dva vzorky KitM, našel minulý týden byly připojeny k serverům v Nizozemsku a Rumunsku. Ve středu odborníci F-Secure obdržela více vzorků KitM od výzkumníka z Německa. Tyto vzorky byly použity pro cílené útoky během období od prosince do února, a distribuovány prostřednictvím podvodných e-mailů obsahujících ZIP soubory se jmény oba Christmas_Card.app.zip, Content_for_Article.app.zip, Interview_Venue_and_Questions.zip, Content_of_article_for_ [jméno odstraněné] .app.zip a Lebenslauf_fur_Praktitkum.zip.

Obsažené v tyto archivy instalačních programů KitM je spustitelný soubor ve formátu Mach-O, jejichž ikony byly nahrazeny ikony obrázků, videí, PDF a dokumenty Microsoft Word. Takový trik je často používán k distribuci škodlivého softwaru v systému Windows.

Všechny vzorky byly nalezeny KitM podepsány stejným certifikátem Rajinder Kumar, který Apple Vzpomněl si na minulý týden, bezprostředně po zjištění KitM, ale to nepomůže těm, kteří již infikován.

«Gatekeeper udržuje soubor v karanténě až do té doby, než mu je nejprve hrál,“ - řekl Bogdan Botezatu, analytik u antivirové společnosti BitDefender. „Pokud byl soubor byl zkontrolován při prvním startu, začne i nadále, as Gatekeeper nebude provádět přezkoumání. Z tohoto důvodu, malware, který již byl zahájen, jakmile používáte správný certifikát, bude i nadále působit a po jejím vysazení. "

Apple může použít jinou ochrannou funkci nazvanou XProtect, přidat na černou listinu známých KitM souborů. Nicméně, nebyl nalezen do té doby změnit „špiona“, bude i nadále fungovat.

Jediný způsob, jak Mac uživatelé mohou zabránit spuštění kterékoli z podepsaného malware v počítači, je-li změnit nastavení Gatekeeper takže se nechá probíhat pouze ty aplikace, které byly nainstalovány z Mac App Store, řekněme F-Secure odborníky.

Nicméně, pro podnikové uživatele, tato konfigurace je prostě nemožné, protože To znemožňuje používat prakticky žádnou funkci Software, a to zejména - z vlastní podnikové aplikace byly vyvinuty pro vnitřní použití, a nikoli stanoveny v Mac App Store.

(via)