Neue Versionen von Spyware für OS X gefunden

Sicherheitsexperten haben zahlreiche Beispiele von kürzlich entdeckten Spion KitM identifiziert für Mac OS X, von denen angestrebt wird deutschsprachige datierten Dezember 2012 Benutzer. KitM (Kumar im Mac), die auch als HackBack bekannt ist, ist ein Backdoor, die unbefugten Screenshots macht und laden Sie zu einem Remote-Server. Es bietet auch Zugriff auf die Shell, so dass der Angreifer Befehle auf dem infizierten Computer auszuführen.

Ursprünglich wurde Malware auf den MacBook angolanischen Aktivisten gefunden, die die Menschenrechtskonferenz in Oslo Freedom Forum teilnehmen. Die interessanteste KitM, dass er einen gültigen Apple Developer ID signiert, ein Zertifikat von Apple auf einigen Rajinder Kumar ausgegeben. Anwendungen unterzeichnet von Apple Developer ID hat der Pförtner, integrierte Sicherheitssystem OS X, die den Ursprung der Datei überprüft, um ihre mögliche Gefahr für das System zu bestimmen.

Die ersten beiden Proben KitM, fand letzte Woche an Server in den Niederlanden und Rumänien verbunden waren. Am Mittwoch, der die Experten von F-Secure mehr KitM Proben aus dem Forscher aus Deutschland erhalten. Diese Proben wurden für die gezielten Angriffe in der Zeit von Dezember bis Februar, und verteilen durch Phishing-E-Mails mit zip-Dateien mit Namen verwendet beide Christmas_Card.app.zip, Content_for_Article.app.zip, Interview_Venue_and_Questions.zip, Content_of_article_for_ [NAME ENTFERNT] .app.zip und Lebenslauf_fur_Praktitkum.zip.

Enthalten in diesen Archiven Installateure KitM ist eine ausführbare Datei in dem Mach-O-Format, deren Icons haben mit Icons, Bilder, Videos, PDF und Microsoft Word-Dokumente ersetzt. Ein solcher Trick wird oft verwendet, Malware auf Windows zu verteilen.

Alle Proben wurden gefunden KitM von demselben Zertifikat Rajinder Kumar unterzeichnet, das von Apple Er erinnerte daran, letzte Woche, unmittelbar nach KitM Erkennung, aber es wird diejenigen, die nicht helfen, die bereits infiziert.

«Torwächter halten eine Datei in Quarantäne, bis zu dem Zeitpunkt, als er zum ersten Mal ausgeführt wird,“ - sagte Bogdan Botezatu, Senior Analyst bei der Anti-Virus-Unternehmen Bitdefender. „Wenn die Datei beim ersten Start überprüft wurde, wird es beginnen und fortsetzen, wie Torwächter nicht erneute Prüfung durchführen. Daher Malware, die das richtige Zertifikat gestartet wird weiterhin einmal mit betreiben und nach dem Absetzen. "

Apple kann eine andere Schutz Funktion namens XProtect, verwendet, um die schwarze Liste der bekannten KitM Dateien hinzuzufügen. Jedoch festgestellt, nicht bevor dann ändern „Spion“ wird weiterhin funktionieren.

Der einzige Weg, Mac-Anwender die Ausführung eines des signierten Malware auf Ihrem Computer verhindern kann, ist es, die Einstellungen zu ändern Pförtner so dass nur die Anwendungen ausgeführt werden durfte, die aus dem Mac App Store installiert wurden, sagt F-Secure-Experten.

Doch für den Anwender im Unternehmen, ist diese Konfiguration einfach unmöglich, weil Es macht es unmöglich, praktisch jedes Büro zu verwenden, Software und vor allem - der eigenen Unternehmensanwendungen für den internen Gebrauch entwickelt und nicht in der Mac App angelegt Store.

(über)