Uued versioonid nuhkvara leitud OS X

Security eksperdid on kindlaks määratud mitmed näited hiljuti avastatud spioon KitM Mac OS X, millest üks on suunatud saksakeelse dateeritud detsember 2012 kasutajad. KitM (Kumar Mac), tuntud ka kui HackBack, on tagauks, mis muudab volitamata pilte ja laadida need serveritega. Samuti pakub ligipääsu kest, mis võimaldab okupant täita käske nakatunud arvuti.

Algselt pahavara leiti MacBook Angola aktivistid, kes osalevad inimõiguste konverentsil Oslos Freedom Forum. Kõige huvitavam KitM et ta allkirjastas kehtiv Apple Developer ID, väljastatud tõend Apple mõned Rajinder Kumar. Rakendused allkirjastatud Apple Developer ID, sooritanud Gatekeeper, sisseehitatud turvasüsteem OS X, mis kontrollib päritolu faili, et määrata selle võimalikku ohtu süsteemi.

Esimesed kaks proovi KitM, leitud eelmisel nädalal olid ühendatud serverites Holland ja Rumeenia. Kolmapäeval, eksperdid F-Secure sai rohkem KitM proove uurija Saksamaa. Neid proove kasutatakse suunatud rünnakute ajal detsembrist veebruarini ning levitatakse phishing e-kirju, mis sisaldavad zip-faile nimed nii Christmas_Card.app.zip, Content_for_Article.app.zip, Interview_Venue_and_Questions.zip, Content_of_article_for_ [NAME eemaldatud] .app.zip ja Lebenslauf_fur_Praktitkum.zip.

Sisalduva arhiivi paigaldajad KitM on käivitatav fail Mach-O formaat, mille ikoonid on asendatud ikoonid pildid, videod, PDF ja Microsoft Wordi dokumente. Selline trikk kasutatakse sageli levitada pahavara Windows.

Kõik proovid olid KitM allkirjastatud sama sertifikaati Rajinder Kumar, mis Apple Ta meenutas eelmisel nädalal, vahetult pärast KitM avastamise, kuid see ei aita neid, kes on juba nakatunud.

«Gatekeeper hoiab faili karantiini kuni ajani, mil ta esimest korda läbi," - ütles Bogdan Botezatu, kõrgemate analüütik viirusetõrje firma Bitdefender. "Kui fail on kontrollitud esimene start, siis alustama ja jätkama, kui Gatekeeper ei läbi ümbervaatamisel. Seetõttu pahavara, mis on hakanud korraga, kasutades õiget sertifikaati jätkab tegutsemist ja pärast selle lõpetamist. "

Apple võib kasutada erinevaid kaitsemeetmeid funktsioon nimega XProtect, lisada musta nimekirja tuntud KitM faile. Kuid ei leitud enne seda muuta "spioon" jätkab funktsiooni.

Ainus viis Mac kasutajad saavad hukkamise ennetamiseks tahes allkirjastatud pahavara arvutisse on muutke Gatekeeper nii et lasti joosta ainult need taotlused, mis on installitud Mac App Store, ütlevad F-Secure eksperdid.

Kuid ettevõte kasutajatele, see konfiguratsioon on lihtsalt võimatu, sest See muudab võimatuks kasutada praktiliselt iga kontori Tarkvara ja eriti - oma ettevõte rakendusi arendatakse sisekasutuseks ja ei sätestatud Mac App Store.

(kaudu)