Нове верзије спиваре фоунд фор ОС Кс
Макрадар Од технологије / / December 19, 2019
Безбедносне стручњаци су идентификовали бројне примере недавно откривени шпијунски КитМ за Мац ОС Кс, од којих је једна у циљу немачког говорног подручја из децембра 2012 усерс. КитМ (Кумар у Мац), такође познат као ХацкБацк, је бацкдоор, што чини неовлашћене сцреенсхот и поставити их на удаљеном серверу. Она такође обезбеђује приступ љусци, омогућавајући нападача да извршава команде на зараженом рачунару.
Првобитно малваре-утврђено је на МацБоок Про Анголе активиста који присуствују конференцији за људска права у Ослу Фреедом Форум. Најинтересантнији КитМ да је потписао важећу Аппле Девелопер ИД, сертификат издат од стране Аппле на неком Рајиндер Кумар. Апликације које су потписали Аппле Девелопер ИД, донет чувара, буилт-ин система безбедности ОС Кс, којом се потврђује порекло датотеке да одреди своју могућу претњу систему.
Прва два узорка КитМ, наћи прошле недеље су повезани са серверима у Холандији и Румунији. У среду, експерти Ф-Сецуре примила више узорака КитМ од истраживача из Немачке. Ови узорци су коришћени за циљаних напада у периоду од децембра до фебруара, а дистрибуира преко пхисхинг е-маилова који садрже зип-датотека са именима оба Цхристмас_Цард.апп.зип, Цонтент_фор_Артицле.апп.зип, Интервиев_Венуе_анд_Куестионс.зип, Цонтент_оф_артицле_фор_ [НАМЕ РЕМОВЕД] .апп.зип анд Лебенслауф_фур_Практиткум.зип.
Садржана у овим архивама монтери КитМ је извршна датотека у Мацх-О формату, чије иконе су замењене са иконама слике, видео снимке, ПДФ и Мицрософт Ворд докумената. Такав трик се често користи за дистрибуцију малвера на Виндовс.
Сви узорци су пронађена КитМ потписали исти сертификат Рајиндер Кумар, који Аппле Он је подсетио прошле недеље, одмах после откривања КитМ, али то неће помоћи онима који већ имају заражен.
«Чувара чува датотеку у карантину све до тренутка када је први пут изведена," - рекао је Богдан Ботезату, виши аналитичар у антивирусној компанији Битдефендер. "Ако је фајл је проверени на првом почетку, она ће почети и наставити, као Гатекеепер неће водити додатно испитивање. Стога, малваре који је почео једном користећи одговарајући сертификат ће наставити да ради и после његовог повлачења. "
Аппле може користити неки други заштитни функцију која се зове КСПротецт, додати на црну листу познатих КитМ фајлова. Међутим, не нашла пред онда модификује "шпијуна" ће наставити да функционише.
Једини начин Мац корисници могу да спрече извршење било ког од потписаног малваре на рачунару је да промените подешавања вратар тако да је дозвољено да раде само оне апликације које су инсталиране из Мац Апп Сторе, кажу Ф-Сецуре стручњаке.
Међутим, за пословне кориснике, ова конфигурација је једноставно немогуће, јер То чини немогућим да користе практично сваку канцеларију Софтвер, а посебно - у су сопствено предузеће апликације развијена за интерну употребу и не лежи у Мац Апп Сторе.
(преко)