Naujos versijos šnipinėjimo OS X nerasta

Saugumo ekspertai nustatė daug pavyzdžių neseniai atrado šnipas KitM Mac OS X, iš kurių vienas yra siekiama vokiškai kalbančių 2012 gruodžio pasenusios vartotojų. KitM (Kumaras į "Mac"), taip pat žinomas kaip HackBack, yra Backdoor, todėl pašaliniai ekrano ir nusiųsti juos į nuotolinio serverio. Ji taip pat suteikia prieigą prie korpuso, leidžianti okupantui vykdyti komandas užkrėsto kompiuterio.

Iš pradžių kenkėjai jis buvo rastas MacBook Angolos aktyvistų, kurie lanko žmogaus teisių konferenciją Oslo Laisvės forume. Įdomiausia KitM, kad jis pasirašė galiojantį Apple Developer ID, sertifikatą Apple išduotą kai Rajinder Kumar. Programos pasirašyti Apple Developer ID, patekę Sargas, built-in apsaugos sistemos OS X, kuris patikrina failo kilmę nustatyti jo galimą grėsmę sistemos.

Pirmieji du mėginiai KitM, rastas praėjusią savaitę buvo prijungtas prie serverių Nyderlanduose ir Rumunijoje. Trečiadienį, ekspertai F-Secure gavo daugiau KitM mėginius iš mokslininko iš Vokietijos. Šie mėginiai buvo naudojamas tikslinių atakų per laikotarpį nuo gruodžio iki vasario, ir platinamas per phishing laiškus, kuriuose Pašto failus su pavadinimais tiek Christmas_Card.app.zip, Content_for_Article.app.zip, Interview_Venue_and_Questions.zip, Content_of_article_for_ [PAVADINIMAS pašalinti] .app.zip ir Lebenslauf_fur_Praktitkum.zip.

Šiuose archyvuose montuotojų KitM yra vykdomąjį failą Macho-O formatu, kurio piktogramos buvo pakeisti piktogramas vaizdus, ​​video, PDF ir Microsoft Word dokumentuose. Toks triukas dažnai naudojamas platinti kenkėjiškas programas "Windows".

Visi mėginiai buvo rasta KitM pasirašė tos pačios sertifikato Rajinder Kumar, kuris "Apple" Jis priminė praėjusią savaitę, iš karto po KitM aptikti, bet tai nepadės tiems, kurie jau užkrėstas.

«Sargas saugo failą karantino iki to laiko, kai jis pirmą kartą atlikta", - sakė Bogdanas Botezatu, vyresnysis analitikas antivirusinės kompanijos BitDefender. "Jei failas buvo patikrintas pirmos pradžios, ji bus pradėti ir tęsti, nes Vartininkas nebus atlikti pakartotinį patikrinimą. Todėl, kenkėjiškų programų, kad buvo pradėtas, kai, naudojant teisingą sertifikatą toliau veiks ir po jo panaikinimo. "

Apple gali naudoti kitą apsauginę funkciją, vadinamą XProtect, įtraukti į juodąjį sąrašą žinomų KitM failus. Tačiau ne rado prieš tada keisti "šnipas" ir toliau veiks.

Vienintelis būdas "Mac" vartotojams gali užkirsti kelią bet pasirašytą kenkėjiškų programų savo kompiuteryje vykdymą yra pakeisti nustatymus vartininkas taip, kad buvo leista vykdyti tik tuos prašymus, kurie buvo įdiegti iš "Mac App Store", sako "F-Secure ekspertai.

Tačiau verslo vartotojams, ši konfigūracija yra tiesiog neįmanoma, nes Tai neįmanoma naudoti praktiškai bet biurą Programinė įranga, o ypač - jų pačių įmonių paraiškas yra sukurta vidiniam naudojimui, o ne išdėstyti Mac App Parduotuvė.

(per)