11
Visningar
Säkerhetsexperter har identifierat ett antal exempel på nyligen upptäckta spy KitM för Mac OS X, varav en riktar sig till tyskspråkiga daterat December 2012 användare. KitM (Kumar i Mac), även känd som HackBack är en bakdörr som gör otillåtna skärm och överföra dem till en fjärrserver. Det ger också tillgång till skalet, gör det möjligt för inkräktaren att köra kommandon på den infekterade datorn.
Ursprungligen malware det konstaterades på MacBook angolanska aktivister som deltar konferens om mänskliga rättigheter i Oslo Freedom Forum. Det mest intressanta KitM att han undertecknade ett giltigt Apple Developer ID, ett intyg från Apple på vissa Rajinder Kumar. Ansökningar som undertecknats av Apple Developer ID passerade Gatekeeper, inbyggda säkerhetssystem OS X, som verifierar ursprunget till filen för att fastställa dess eventuella hot mot systemet.
De två första proverna KitM fann förra veckan var anslutna till servrar i Nederländerna och Rumänien. På onsdagen experterna F-Secure fått fler KitM prover från forskare från Tyskland. Dessa prover användes för riktade attacker under perioden december till februari och distribueras genom nätfiske e-postmeddelanden som innehåller zip-filer med namn både Christmas_Card.app.zip, Content_for_Article.app.zip, Interview_Venue_and_Questions.zip, Content_of_article_for_ [NAME BORT] .app.zip och Lebenslauf_fur_Praktitkum.zip.
I dessa arkiv installatörer KitM är en körbar fil i Mach-O-format, vars ikoner har ersatts med ikoner bilder, videor, PDF och Microsoft Word-dokument. Ett sådant trick används ofta för att sprida skadlig kod på Windows.
Alla prover påträffades KitM undertecknats av samma certifikat Rajinder Kumar, som Apple Han återkallade i förra veckan, omedelbart efter KitM upptäckt, men det kommer inte att hjälpa dem som redan har smittade.
«Gatekeeper håller en fil i karantän tills han först utförs," - säger Bogdan Botezatu, en senior analytiker på antivirusföretaget Bitdefender. "Om filen har kontrollerats vid första start, kommer det att starta och fortsätta, som Gatekeeper kommer ingen omprövning. Därför, malware som har startats en gång använda rätt certifikat kommer att fortsätta att driva och efter dess tillbakadragande. "
Apple kan använda en annan skyddande funktion som kallas XProtect, att lägga till den svarta listan över kända KitM filer. Men inte hittas innan dess ändra "spion" kommer att fortsätta att fungera.
Det enda sättet Mac-användare kan förhindra utförandet av någon av de undertecknade skadlig kod på datorn är att ändra inställningarna Gatekeeper så det var tillåtet att köra endast de program som har installerats från Mac App Store, säger F-Secures experter.
För företagsanvändare, är helt enkelt omöjligt denna konfiguration eftersom Det gör det omöjligt att använda praktiskt taget alla kontor Software, och framför allt - av sina egna företagsapplikationer utvecklas för internt bruk och inte anges i Mac App Store.
(via)
Prenumerera
YOU MIGHT ALSO LIKE
