Nuove versioni di spyware trovati per OS X
Makradar Della Tecnologia / / December 19, 2019
Gli esperti di sicurezza hanno identificato numerosi esempi di KitM spia recentemente scoperto per Mac OS X, uno dei quali è rivolto a datato dicembre 2012 di lingua tedesca utenti. KitM (Kumar in Mac), noto anche come HackBack, è una backdoor, il che rende le immagini non autorizzate e caricarli su un server remoto. Consente inoltre di accedere alla shell, permettendo l'invasore per eseguire comandi sul computer infetto.
In origine il malware è stato trovato sugli attivisti MacBook angolani che frequentano la conferenza sui diritti umani a Oslo Freedom Forum. Il KitM più interessante che ha firmato un ID Apple Developer valida, un certificato rilasciato da Apple su alcuni Rajinder Kumar. Applicazioni firmate da Apple ID Developer, superato il Gatekeeper, built-in sistema di sicurezza di OS X, che verifica l'origine del file per determinare la sua possibile minaccia per il sistema.
I primi due campioni KitM, hanno trovato la scorsa settimana sono stati collegati al server in Olanda e Romania. Mercoledì scorso, gli esperti di F-Secure hanno ricevuto più campioni KitM dal ricercatore dalla Germania. Questi campioni sono stati utilizzati per gli attacchi mirati nel periodo da dicembre a febbraio, e distribuiti attraverso le email di phishing contenente file zip con i nomi entrambi Christmas_Card.app.zip, Content_for_Article.app.zip, Interview_Venue_and_Questions.zip, Content_of_article_for_ [nome rimosso] .app.zip e Lebenslauf_fur_Praktitkum.zip.
Contenuto in questi archivi installatori KitM è un file eseguibile in formato Mach-O, le cui icone sono state sostituite con le icone immagini, video, PDF e documenti Microsoft Word. Tale trucco è spesso utilizzato per distribuire malware su Windows.
Tutti i campioni sono stati trovati KitM firmato dalla stesso certificato Rajinder Kumar, che Apple Ha ricordato la scorsa settimana, subito dopo il rilevamento KitM, ma non aiuterà coloro che hanno già infetti.
«Gatekeeper mantiene un file in quarantena fino a quando lui viene eseguita prima," - ha detto Bogdan Botezatu, un analista senior di antivirus Bitdefender società. "Se il file è stato controllato al primo avvio, inizierà e continuerà, come Gatekeeper non condurrà riesame. Pertanto, il malware che è stato avviato contemporaneamente utilizzando il certificato corretto continuerà ad operare e dopo la sua sospensione ".
Apple potrebbe utilizzare una funzione protettiva diverso chiamato XProtect, da aggiungere alla lista nera dei file KitM noti. Tuttavia, non trovato prima di allora modificare "spia" continueranno a funzionare.
L'unico modo per gli utenti Mac possono impedire l'esecuzione di qualsiasi del malware firmato il computer è quello di modificare le impostazioni Gatekeeper in modo che è stato permesso di eseguire solo le applicazioni che sono state installate dal Mac App Store, dicono gli esperti di F-Secure.
Tuttavia, per gli utenti aziendali, questa configurazione è semplicemente impossibile, perché Lo rende impossibile l'uso di qualsiasi ufficio Software, e soprattutto - delle proprie applicazioni aziendali sono sviluppati per uso interno e non disposti in App Mac Store.
(via)