Νέες εκδόσεις των spyware που βρέθηκαν για το OS X
Makradar Της τεχνολογίας / / December 19, 2019
Ασφάλεια εμπειρογνώμονες έχουν εντοπίσει πολλά παραδείγματα που ανακαλύφθηκαν πρόσφατα KitM κατάσκοπος για Mac OS X, ένα από τα οποία έχει ως στόχο την γερμανόφωνο με ημερομηνία Δεκέμβριος 2012 χρήστες. KitM (Kumar στο Mac), επίσης γνωστή ως HackBack, είναι μια κερκόπορτα, η οποία καθιστά μη εξουσιοδοτημένη εικόνες και να τις αποστείλετε σε έναν απομακρυσμένο server. Παρέχει επίσης πρόσβαση στο κέλυφος, επιτρέποντας στον εισβολέα να εκτελέσει εντολές στον μολυσμένο υπολογιστή.
Αρχικά κακόβουλο λογισμικό που βρέθηκε στις ακτιβιστές MacBook Αγκόλας που παρακολουθούν το συνέδριο για τα ανθρώπινα δικαιώματα στο Όσλο Ελευθερία φόρουμ. Το πιο ενδιαφέρον KitM ότι υπέγραψε ένα έγκυρο Apple ID Developer, ένα πιστοποιητικό που εκδίδεται από την Apple σε κάποιο Rajinder Kumar. Οι αιτήσεις που υπογράφεται από την Apple ID Developer, πέρασε το θυρωρό, ενσωματωμένο σύστημα ασφαλείας OS X, το οποίο πιστοποιεί την προέλευση του αρχείου για να προσδιορίσει πιθανή απειλή της στο σύστημα.
Τα δύο πρώτα δείγματα KitM, βρέθηκε την περασμένη εβδομάδα συνδέθηκαν με servers στην Ολλανδία και τη Ρουμανία. Την Τετάρτη, οι εμπειρογνώμονες F-Secure λάβει περισσότερα δείγματα KitM από τον ερευνητή από τη Γερμανία. Αυτά τα δείγματα χρησιμοποιήθηκαν για τις στοχευμένες επιθέσεις κατά την περίοδο από τον Δεκέμβριο μέχρι τον Φεβρουάριο, και διανέμονται μέσω phishing emails που περιέχουν zip αρχεία με τα ονόματα τόσο Christmas_Card.app.zip, Content_for_Article.app.zip, Interview_Venue_and_Questions.zip, Content_of_article_for_ [NAME απομακρυνθεί] .app.zip και Lebenslauf_fur_Praktitkum.zip.
Περιέχονται σε αυτά τα αρχεία εγκατάστασης KitM είναι ένα εκτελέσιμο αρχείο σε μορφή Mach-O, των οποίων οι εικόνες έχουν αντικατασταθεί με εικόνες εικόνες, βίντεο, PDF και έγγραφα του Microsoft Word. Ένα τέτοιο τέχνασμα χρησιμοποιείται συχνά για τη διανομή malware στα Windows.
Όλα τα δείγματα βρέθηκαν KitM υπογράφεται από τον ίδιο βεβαίωση Rajinder Kumar, το οποίο η Apple Υπενθύμισε την περασμένη εβδομάδα, αμέσως μετά την ανίχνευση KitM, αλλά δεν θα βοηθήσει αυτούς που έχουν ήδη μολυνθεί.
«Gatekeeper κρατά ένα αρχείο σε καραντίνα έως ότου ο ίδιος για πρώτη φορά πραγματοποιείται,» - είπε ο Bogdan Botezatu, ανώτερος αναλυτής της εταιρείας antivirus Bitdefender. «Αν το αρχείο έχει ελεγχθεί κατά την πρώτη εκκίνηση, θα ξεκινήσει και θα συνεχίσει, όπως Gatekeeper δεν θα διεξάγει επανεξέταση. Ως εκ τούτου, κακόβουλο λογισμικό που έχει ξεκινήσει μία φορά χρησιμοποιώντας το σωστό πιστοποιητικό θα συνεχίσει να λειτουργεί και μετά τη διακοπή της. "
Η Apple μπορεί να χρησιμοποιήσει ένα διαφορετικό προστατευτικό χαρακτηριστικό που ονομάζεται XProtect, για να προσθέσετε στη μαύρη λίστα των γνωστών αρχείων KitM. Ωστόσο, δεν βρέθηκε νωρίτερα να τροποποιήσετε «κατάσκοπος» θα συνεχίσει να λειτουργεί.
Ο μόνος τρόπος για τους χρήστες Mac μπορούν να αποτρέψουν την εκτέλεση οποιουδήποτε από τα υπογράφηκε malware στον υπολογιστή σας είναι να αλλάξετε τις ρυθμίσεις gatekeeper έτσι που αφέθηκε να τρέξει μόνο τις εφαρμογές που έχουν εγκατασταθεί από το Mac App Store, λένε F-Secure εμπειρογνώμονες.
Ωστόσο, για τους εταιρικούς χρήστες, αυτή η ρύθμιση είναι απλά αδύνατο, επειδή Καθιστά αδύνατη τη χρήση σχεδόν σε οποιοδήποτε γραφείο Λογισμικού, και κυρίως - της τα δικά τους εταιρικές εφαρμογές που αναπτύχθηκαν για εσωτερική χρήση και όχι που ορίζονται στο Mac App Store.
(μέσω)