Видео: Mac OS X Welcome Videos (Ноември 2024)
Изследователите са открили злонамерен софтуер, предназначен да шпионира потребителите на Mac на анголския активист.
Независимият изследовател по сигурността Джейкъб Апелбаум откри новият и неизвестен досега заден ход на Mac на активиста по време на Форума на свободата в Осло, пише Appelbaum в Twitter. Той откри втори вариант на компютъра на друг активист, малко след това.
„Изглежда, че това е чисто ново парче злонамерен софтуер с чисто ново поведение“, каза Богдан Ботезату от BitDefender пред SecurityWatch .
Поне в случай на първата атака, активистът е станал жертва на фишинг атака с копие, при която той е бил примамен да изтегли и инсталира злонамерения софтуер, докато влезе в Mac, каза Botezatu.
Какво прави зловредният софтуер
Изглежда, че задното приложение прави екрани на компютъра на потребителя и ги съхранява в папка в домашната директория на потребителя, наречена MacApp, пише Шон Съливан от F-Secure в блога на компанията. Изследователите на F-Secure подозират, че е разработен в търговската мрежа, каза Съливан пред SecurityWatch .
Веднъж инсталирано, приложението се добавя към списъка на текущите потребители на елементи за влизане, списък на приложения, които се стартират автоматично, когато потребителят влезе в Mac. Зловредният софтуер качи екранните снимки на два сървъра за управление и контрол - един в Холандия, а другият във Франция.
Основната цел на сървъра за командване и контрол е да събере всички екранна снимка, но също така съхранява имената на хостове и допълнителна информация за заразени машини, каза Botezatu. Изследователите на BitDefender откриха, че вторият вариант на Mac backdoor също комуникира със сървър в Румъния за изтегляне на допълнителни полезни товари и компоненти.
Възможно е този сървър да действа като резерва за престъпници, ако другите сървъри бъдат спрени, каза Botezatu.
Макар самият зловреден софтуер да е „неопитен“, той все още е в състояние да събира информация за дейностите на потребителя на този компютър, „без да вдига твърде много шум“, каза Ботезату.
Открадна ли Apple ID?
Зловредният софтуер е подписан с валиден идентификатор на разработчика на Apple, което означава, че няма да бъде открит от функцията Gatekeeper в Mac OS X. Apple представи Gatekeeper, който предотвратява изпълнението на неподписани приложения, изтеглени от Интернет, в Mac OS X Mountain Lion и Lion v10.7.5 миналата година. BitDefender смята, че това е първото парче от злонамерения софтуер на Mac, подписан цифрово с легитимен Apple ID.
Понастоящем не е известно дали ключът е откраднат от легитимен разработчик, или дали разработчикът на зловреден софтуер е подмамил Apple да генерира идентификационния номер. Като се има предвид, че името е подобно на известна звезда в Боливуд, която почина наскоро, вероятно разработчикът е създал фалшива самоличност като част от процеса на кандидатстване, заяви Botezatu.
Потребителите могат да потърсят в домашните си директории, за да проверят дали има папка MacApp, за да разберат дали са заразени.
Въпреки че злонамереният софтуер е "куц", тъй като лесно се открива, той все още е "смъртоносен", каза Appelbaum. "Проблемът е, че авторът е бил достатъчно добър, за да вкара някой в смъртна опасност", написа Appelbaum в Twitter.
