Video: Mac OS X с нуля. Урок 1. Основы. (Lokakuu 2024)
Tutkijat ovat paljastaneet haittaohjelmia, jotka on suunniteltu vakoilemaan käyttäjiä Angolan aktivistin Mac-tietokoneessa.
Riippumaton turvallisuustutkija Jacob Appelbaum löysi uuden ja aikaisemmin tuntemattoman takaoven aktivistin Macista Oslon vapausfoorumissa ollessaan Appelbaum kirjoitti Twitterissä. Hän löysi toisen variantin toisen aktivistin tietokoneelta pian sen jälkeen.
"Se näyttää olevan aivan uusi haittaohjelma, jolla on aivan uusi käyttäytyminen", BitDefenderin Bogdan Botezatu kertoi SecurityWatchille .
Ainakin ensimmäisen hyökkäyksen kohdalla aktivisti joutui keihäshuijaushyökkäykseen, jossa hän houkutettiin lataamaan ja asentamaan haittaohjelmat kirjautuessaan Maciin, Botezatu kertoi.
Mitä haittaohjelmat tekevät
Takaovi-sovellus näyttää ottavan kuvakaappauksia käyttäjän tietokoneesta ja tallentavan ne käyttäjän kotihakemistossa olevaan MacApp-kansioon, F-Securen Sean Sullivan kirjoitti yrityksen blogissa. F-Securen tutkijoiden epäillään sen olevan kaupallisesti kehitetty, Sullivan kertoi SecurityWatchille .
Asennuksen jälkeen sovellus liitti itsensä nykyisen käyttäjän luetteloon kirjautumiskohteisiin, luetteloon sovelluksista, jotka toimivat automaattisesti, kun käyttäjä kirjautuu Maciin. Haittaohjelma latasi kuvakaappauksen kahteen komento- ja hallintapalvelimeen - toisen Hollannissa ja toisen Ranskassa.
Komento- ja hallintapalvelimen ensisijainen tarkoitus on kerätä kaikki kuvakaappaukset, mutta se myös tallentaa isäntänimet ja lisätietoja tartunnan saaneista koneista, Botezatu kertoi. BitDefender-tutkijat havaitsivat, että Mac-takaoven toinen vaihtoehto kommunikoi myös Romanian palvelimen kanssa ladatakseen lisä hyötykuormia ja komponentteja.
On mahdollista, että tämä palvelin toimii varana rikollisille, jos muut palvelimet jäädytetään, Botezatu sanoi.
Vaikka haittaohjelma itsessään oli "hienostumaton", se kykeni silti keräämään tietoja käyttäjän toiminnasta kyseisellä tietokoneella "aiheuttamatta liikaa melua", Botezatu kertoi.
Varastettiinko Apple ID?
Haittaohjelmat allekirjoitettiin kelvollisella Apple Developer ID: llä, mikä tarkoitti, että Gatekeeper-toiminnot eivät havaitse sitä Mac OS X: ssä. Apple esitteli Gatekeeper-sovelluksen, joka estää Internetistä ladattujen allekirjoittamattomien sovellusten suorittamisen Mac OS X Mountain Lion- ja Lion-sovelluksissa. v10.7.5 viime vuonna. BitDefender uskoo, että tämä on ensimmäinen Mac-haittaohjelma, joka on digitaalisesti allekirjoitettu laillisella Apple ID: llä.
Tällä hetkellä ei tiedetä, varastettiin avain lailliselta kehittäjältä vai huijasiko haittaohjelmakehittäjä Applen luomaan tunnuksen. Koska nimi on samanlainen kuin kuuluisa Bollywood-tähti, joka kuoli äskettäin, on todennäköistä, että kehittäjä loi väärennetyn identiteetin osana hakemusprosessia, Botezatu sanoi.
Käyttäjät voivat etsiä kotihakemistoistaan, onko olemassa MacApp-kansio selvittääkseen, ovatko he saaneet tartunnan.
Vaikka haittaohjelma oli "lame", koska se havaittiin helposti, se oli silti "tappava", Appelbaum sanoi. "Ongelmana on, että kirjoittaja oli riittävän hyvä päästäkseen jonkun kuolevaisen vaaraan", Appelbaum kirjoitti Twitterissä.
