Jaunās versijas spiegprogrammatūru atrasti OS X
Makradar Tehnoloģijas / / December 19, 2019
Drošības eksperti ir noteikuši vairākus piemērus nesen atklāja spiegu KitM Mac OS X, no kuriem viens mērķis ir vācu valodā runājošo 2012 datētu decembrī lietotājiem. KitM (Kumar uz Mac), kas pazīstams arī kā HackBack ir backdoor, kas padara neatļautu ekrānšāviņi un augšupielādēt tos uz attālu serveri. Tas arī nodrošina piekļuvi apvalks, kas ļauj iebrucējs izpildīt komandas inficētajā datorā.
Sākotnēji malware tika konstatēts uz MacBook Angolas aktīvistiem, kas apmeklē cilvēktiesību konferenci Oslo Brīvības forumu. Visbiežāk interesanti KitM ka viņš parakstīja derīgs Apple Developer ID, sertifikātu, ko Apple izdots uz dažiem Rajinder Kumar. Pieteikumus ar Apple Developer ID, izturējis Vārtsargs parakstīti, iebūvēts drošības sistēmas OS X, kas pārbauda izcelsmi faila, lai noteiktu tās iespējamos draudus sistēmai.
Pirmie divi paraugi KitM, konstatēts pagājušajā nedēļā bija saistīti ar serveriem Nīderlandē un Rumānijā. Trešdien, eksperti F-Secure saņēma vairāk KitM paraugus no pētnieks no Vācijas. Šie paraugi tika izmantoti mērķtiecīgu uzbrukumu laika posmā no decembra līdz februārim, un izplata ar pikšķerēšanas e-pastu, kas satur zip failus ar nosaukumiem abi Christmas_Card.app.zip, Content_for_Article.app.zip, Interview_Venue_and_Questions.zip, Content_of_article_for_ [vārds tiktu izsvītrots] .app.zip un Lebenslauf_fur_Praktitkum.zip.
Atrodams šos arhīvus, uzstādītājiem KitM ir izpildāmā datne ar Mach-O formātā, kuras ikonas ir aizstāti ar ikonas attēlus, video, PDF un Microsoft Word dokumentus. Šāds triks bieži izmanto, lai izplatītu ļaunprātīgu programmatūru Windows.
Visi paraugi tika atrasti KitM parakstīja tajā pašā sertifikātā Rajinder Kumar, kuru Apple Viņš atgādināja pagājušajā nedēļā, uzreiz pēc KitM atklāšanas, bet tas nepalīdzēs tiem, kas jau ir inficēti.
«Vārtsargs saglabā failu karantīnā līdz brīdim, kad viņš pirmo reizi veic," - teica Bogdan Botezatu, vecākais analītiķis antivīrusu kompānija BitDefender. "Ja fails ir pārbaudīts pirmā starta, tas sāks un turpināt, kā Kontrolējošo nebūs veikt atkārtotu pārbaudi. Tāpēc, ļaunprātīga programmatūra, kas ir uzsākta pēc tam, kad, izmantojot pareizo sertifikātu, turpinās darboties, un pēc tā izņemšanas. "
Apple var izmantot citu aizsargājošu funkciju sauc XProtect, pievienot melnajam sarakstam zināmo KitM failus. Tomēr nav atrasts pirms tam modificēt "spiegu", turpinās darboties.
Vienīgais veids, kā Mac lietotāji var novērst izpildi kādu no parakstītā ļaunprātīgas datorā ir mainīt iestatījumus Vārtsargs tā, ka tika atļauts vadīt tikai tās programmas, kas ir uzstādītas no Mac App Store, teiksim F-Secure speciālisti.
Tomēr uzņēmumu lietotājiem, šī konfigurācija ir vienkārši neiespējami, jo, Tas padara neiespējamu izmantot praktiski jebkuru biroja Software, un jo īpaši - par to pašu uzņēmumu pieteikumi tiek izstrādātas iekšējai lietošanai un nav izklāstīts Mac App Store.
(izmantojot)