Nieuwe versies van spyware gevonden voor OS X

Security experts hebben tal van voorbeelden van recent ontdekte spion KitM geïdentificeerd voor Mac OS X, waarvan er één is gericht op de Duitstalige gedateerd december 2012 gebruikers. KitM (Kumar in Mac), ook bekend als HackBack, een achterdeur die ongeoorloofde schermafbeeldingen maakt en uploaden naar een externe server. Het biedt ook toegang tot de shell, waardoor de indringer om opdrachten uit te voeren op de geïnfecteerde computer.

Oorspronkelijk malware bleek op de MacBook Angolese activisten die de conferentie van de mensenrechten in Oslo Freedom Forum bij te wonen. De meest interessante KitM dat hij tekende een geldig Apple Developer ID, een verklaring van Apple op sommige Rajinder Kumar. Aanvragen die door Apple Developer ID, voorbij de Poortwachter ondertekend, ingebouwde beveiliging systeem OS X, die de oorsprong van het bestand controleert om de mogelijke bedreiging voor het systeem te bepalen.

De eerste twee monsters KitM, vond vorige week werden aangesloten op servers in Nederland en Roemenië. Op woensdag, de experts F-Secure ontving meer KitM monsters uit de onderzoeker uit Duitsland. Deze monsters werden gebruikt voor de gerichte aanvallen in de periode van december tot februari, en verspreid via phishing-e-mails met zip-bestanden met namen beide Christmas_Card.app.zip, Content_for_Article.app.zip, Interview_Venue_and_Questions.zip, Content_of_article_for_ [NAME REMOVED] .app.zip en Lebenslauf_fur_Praktitkum.zip.

Opgenomen in deze archieven installateurs KitM is een uitvoerbaar bestand in de Mach-O-formaat, waarvan de iconen zijn vervangen door iconen afbeeldingen, video's, PDF en Microsoft Word-documenten. Een dergelijke truc wordt vaak gebruikt om malware te verspreiden op Windows.

Alle monsters werden gevonden KitM ondertekend door hetzelfde certificaat Rajinder Kumar, die Apple Hij herinnerde zich vorige week, direct na KitM detectie, maar het zal niet helpen degenen die al besmet.

«Gatekeeper houdt een bestand in quarantaine tot het moment dat hij voor het eerst wordt uitgevoerd," - zei Bogdan Botezatu, een senior analist bij antivirusbedrijf Bitdefender. "Als het bestand bij de eerste start is gecontroleerd, zal het starten en te blijven, als Gatekeeper zal niet op een eventueel nieuw onderzoek. Daarom malware die is gestart zodra het gebruik van het juiste certificaat zal blijven werken en na het stoppen. "

Apple kan een andere beschermende functie genaamd XProtect gebruiken om toe te voegen aan de zwarte lijst van bekende KitM bestanden. Echter, niet gevonden voor die tijd wijzigen "spion" zal blijven functioneren.

De enige manier waarop Mac-gebruikers kunnen de uitvoering van een van de ondertekende malware op uw computer te voorkomen is om de instellingen te wijzigen gatekeeper dus dat was toegestaan ​​om alleen die applicaties die zijn geïnstalleerd vanaf de Mac App Store te voeren, zeggen F-Secure experts.

Echter, voor zakelijke gebruikers, deze configuratie is simpelweg onmogelijk, omdat Hierdoor is het onmogelijk om vrijwel elk kantoor gebruiken Software, en in het bijzonder - van hun eigen zakelijke applicaties zijn ontwikkeld voor intern gebruik en niet vastgelegd in de Mac App Store.

(via)