Video: (16 бит тому назад S03E10) Трудный путь Apple к Mac OS X (Septembra 2024)
Vedci odhalili škodlivý softvér navrhnutý tak, aby špehoval používateľov na angolskom aktivistickom počítači Mac.
Nezávislý výskumník v oblasti bezpečnosti Jacob Appelbaum objavil nové a predtým neznáme zadné vrátka na aktivistovom počítači Mac, zatiaľ čo na Fóre slobody Oslo, Appelbaum napísal na Twitteri. Krátko nato objavil na počítači iného aktivistu druhú variantu.
„Zdá sa, že ide o úplne nový malware so správaním úplne novým, “ povedal Bogdan Botezatu z BitDefender pre SecurityWatch .
Prinajmenšom v prípade prvého útoku sa aktivista stal obeťou kopijného phishingového útoku, pri ktorom bol vyzvaný, aby si stiahol a nainštaloval malvér, keď sa prihlásil do Macu, uviedol Botezatu.
Čo Malware robí
Zdá sa, že aplikácia backdoor sníma snímky obrazovky počítača používateľa a ukladá ich do priečinka v domovskom adresári používateľa s názvom MacApp, Sean Sullivan napísal na firemný blog. Vedci F-Secure majú podozrenie, že bol komerčne vyvinutý, povedal Sullivan pre SecurityWatch .
Po nainštalovaní sa aplikácia pripojila k zoznamu prihlásených položiek aktuálneho používateľa, čo je zoznam aplikácií, ktoré sa spúšťajú automaticky, keď sa používateľ prihlási do systému Mac. Malvér odovzdal snímky obrazovky na dva servery príkazov a ovládacích prvkov - jeden v Holandsku a druhý vo Francúzsku.
Primárnym účelom servera príkazov a riadenia je zhromažďovať všetky snímky obrazovky, ale tiež ukladá názvy hostiteľov a ďalšie informácie o infikovaných počítačoch, uviedol Botezatu. Vedci BitDefenderu zistili, že druhá varianta backdoorov Mac tiež komunikovala so serverom v Rumunsku, aby si stiahla ďalšie užitočné zaťaženie a komponenty.
Je možné, že tento server bude slúžiť ako záložník pre zločincov, ak budú ostatné servery pozastavené, uviedol Botezatu.
Aj keď samotný malware bol „neoficiálny“, stále dokázal zhromažďovať informácie o činnostiach používateľa v tomto počítači „bez toho, aby spôsoboval príliš veľa šumu, “ uviedol Botezatu.
Bolo ukradnuté ID Apple?
Škodlivý softvér bol podpísaný s platným identifikátorom Apple Developer, čo znamená, že by ho nebolo možné zistiť funkciou Gatekeeper v systéme Mac OS X. Apple predstavil Gatekeeper, ktorý zabraňuje spusteniu nepodpísaných aplikácií stiahnutých z internetu v systéme Mac OS X Mountain Lion a Lion v10.7.5 minulý rok. BitDefender verí, že sa jedná o prvý kus škodlivého softvéru pre počítače Mac digitálne podpísaný legitímnym Apple ID.
V súčasnosti nie je známe, či bol kľúč odcudzený legitímnemu vývojárovi, alebo či vývojár malvéru podviedol spoločnosť Apple, aby vygenerovala ID. Vzhľadom na to, že meno je podobné slávnej bollywoodskej hviezde, ktorá nedávno zomrela, je pravdepodobné, že vývojár vytvoril falošnú identitu ako súčasť procesu podávania žiadostí, uviedol Botezatu.
Používatelia môžu vo svojich domovských adresároch zistiť, či existuje priečinok MacApp, aby zistili, či boli infikovaní.
Zatiaľ čo malvér bol „chromý“, pretože sa ľahko zistil, stále bol „smrteľný“, povedal Appelbaum. „Problém je v tom, že autor bol dosť dobrý na to, aby priviedol niekoho do smrteľného nebezpečenstva, “ napísal Appelbaum na Twitteri.
