Novas versões do spyware encontrados para OS X

Especialistas em segurança identificaram inúmeros exemplos de KitM espião recentemente descoberto para Mac OS X, uma das quais é destinada a língua alemã dezembro datado de 2012 usuários. KitM (Kumar no Mac), também conhecido como HackBack, é um backdoor, o que torna as imagens não autorizadas e enviá-los para um servidor remoto. Ele também oferece acesso ao shell, permitindo que o invasor execute comandos no computador infectado.

Originalmente o malware foi encontrado na ativistas MacBook angolanos que frequentam a conferência de direitos humanos em Oslo Freedom Forum. O KitM interessante mais que ele assinou um válido ID Apple Developer, um certificado emitido pela Apple em algum Rajinder Kumar. Aplicativos assinados pela Apple ID Developer, passado o Gatekeeper, built-in sistema de segurança OS X, que verifica a origem do arquivo para determinar sua possível ameaça ao sistema.

As duas primeiras amostras KitM, encontrado na semana passada foram conectados a servidores na Holanda e Romênia. Na quarta-feira, os especialistas F-Secure recebeu mais amostras KitM do pesquisador da Alemanha. Estas amostras foram usados ​​para os ataques direcionados durante o período de dezembro a fevereiro, e distribuído através de e-mails de phishing contendo zip-arquivos com nomes tanto Christmas_Card.app.zip, Content_for_Article.app.zip, Interview_Venue_and_Questions.zip, Content_of_article_for_ [nome removido] e .app.zip Lebenslauf_fur_Praktitkum.zip.

Contidas nesses arquivos instaladores KitM é um arquivo executável no formato de Mach-O, cujos ícones foram substituídos por imagens ícones, vídeos, PDF e documentos do Microsoft Word. truque tal é muitas vezes usado para distribuir malware no Windows.

Todas as amostras foram encontrados KitM assinado pelo mesmo certificado Rajinder Kumar, que a Apple Ele lembrou semana passada, imediatamente após a detecção KitM, mas isso não vai ajudar aqueles que já têm infectado.

«Gatekeeper mantém um arquivo em quarentena até que ele é realizada pela primeira vez ", - disse Bogdan Botezatu, analista sênior da empresa de antivírus Bitdefender. "Se o arquivo tenha sido verificado na primeira partida, ele vai começar e continuar, como Gatekeeper não irá realizar re-exame. Portanto, o malware que foi iniciada uma vez usando o certificado correto continuará a operar e, após a sua retirada ".

Apple pode usar um recurso de proteção diferente chamado XProtect, para adicionar à lista negra de arquivos KitM conhecidos. No entanto, não antes encontrado, então modificar "espião" vai continuar a função.

A única maneira como os usuários de Mac podem impedir a execução de qualquer um dos malwares assinado em seu computador é mudar as configurações porteiro de modo que foi autorizado a executar apenas os aplicativos que foram instalados a partir do Mac App Store, dizem os especialistas da F-Secure.

No entanto, para usuários corporativos, esta configuração é simplesmente impossível, porque Isso torna impossível usar praticamente qualquer escritório Software e, especialmente, - de suas próprias aplicações da empresa são desenvolvidos para uso interno e não definidos no Mac App Store.

(via)