Para ahli keamanan telah mengidentifikasi banyak contoh KitM mata-mata baru ditemukan untuk Mac OS X, salah satunya ditujukan untuk berbahasa Jerman tanggal Desember 2012 pengguna. KitM (Kumar di Mac), juga dikenal sebagai HackBack, adalah backdoor, yang membuat screenshot yang tidak sah dan upload ke server jauh. Hal ini juga menyediakan akses ke shell, memungkinkan penyerang untuk menjalankan perintah pada komputer yang terinfeksi.
Awalnya malware ditemukan pada aktivis MacBook Angola yang menghadiri konferensi hak asasi manusia di Oslo Freedom Forum. The KitM paling menarik bahwa ia menandatangani ID Apple Developer berlaku, sertifikat yang dikeluarkan oleh Apple pada beberapa Rajinder Kumar. Aplikasi ditandatangani oleh Apple ID Developer, melewati Gatekeeper, built-in sistem keamanan OS X, yang memverifikasi asal file untuk menentukan ancaman mungkin untuk sistem.
Dua sampel pertama KitM, ditemukan pekan lalu yang terhubung ke server di Belanda dan Rumania. Pada hari Rabu, para ahli F-secure menerima lebih banyak sampel KitM dari peneliti dari Jerman. Sampel ini digunakan untuk serangan yang ditargetkan selama periode dari Desember hingga Februari, dan didistribusikan melalui email phishing yang mengandung zip-file dengan nama kedua Christmas_Card.app.zip, Content_for_Article.app.zip, Interview_Venue_and_Questions.zip, Content_of_article_for_ [NAMA DIHAPUS] .app.zip dan Lebenslauf_fur_Praktitkum.zip.
Terkandung dalam arsip ini installer KitM adalah file executable dalam format Mach-O, yang ikon telah diganti dengan ikon gambar, video, PDF dan dokumen Microsoft Word. trik seperti sering digunakan untuk mendistribusikan malware pada Windows.
Semua sampel ditemukan KitM ditandatangani oleh sertifikat yang sama Rajinder Kumar, dimana Apple Dia ingat pekan lalu, segera setelah deteksi KitM, tetapi tidak akan membantu mereka yang sudah terinfeksi.
«Gatekeeper menyimpan file dalam karantina sampai saat ia pertama kali dilakukan," - kata Bogdan Botezatu, seorang analis senior di perusahaan antivirus Bitdefender. "Jika berkas ini telah diperiksa pada awal pertama, itu akan mulai dan terus, seperti Gatekeeper tidak akan melakukan pemeriksaan ulang. Oleh karena itu, malware yang telah dimulai setelah menggunakan sertifikat yang benar akan terus beroperasi dan setelah pengunduran diri. "
Apple mungkin menggunakan fitur pelindung yang berbeda yang disebut XProtect, untuk menambah daftar hitam file KitM dikenal. Namun, tidak ditemukan sebelum kemudian memodifikasi "mata-mata" akan terus fungsi.
Satu-satunya cara pengguna Mac dapat mencegah eksekusi salah satu malware yang ditandatangani pada komputer Anda adalah untuk mengubah pengaturan gatekeeper sehingga diizinkan untuk menjalankan hanya aplikasi yang telah diinstal dari Mac App Store, mengatakan para ahli F-Secure.
Namun, untuk pengguna perusahaan, konfigurasi ini hanya mungkin, karena Ini membuat tidak mungkin untuk menggunakan hampir setiap kantor Software, dan terutama - aplikasi perusahaan mereka sendiri dikembangkan untuk penggunaan internal dan tidak ditata di App Mac Store.
(melalui)