Відео: Эволюция macOS (Листопад 2024)
Дослідники виявили зловмисне програмне забезпечення, призначене для шпигування користувачів на комп’ютері Mac ангольського активіста.
Незалежний дослідник безпеки Джейкоб Аппельбаум виявив нове і раніше невідоме заднє вікно на Mac активіста під час форуму свободи в Осло, написав Аппельбаум у Twitter. Невдовзі він виявив другий варіант на комп’ютері іншого активіста.
"Здається, це абсолютно новий зловмисне програмне забезпечення з абсолютно новою поведінкою", - сказав Богдан Ботезату з BitDefender для SecurityWatch .
Принаймні, у випадку першого нападу, активіст став жертвою фішинг-атаки, в якій його заманювали завантажити та встановити зловмисне програмне забезпечення під час входу в Mac, заявив Ботезату.
Що робить зловмисне програмне забезпечення
Здається, що програма backdoor робить знімки екрана комп’ютера користувача та зберігає їх у папці в домашній директорії користувача під назвою MacApp, написав у блозі компанії Sean Sullivan F-Secure. Дослідники F-Secure підозрюють, що це було комерційно розроблено, заявив Салліван для SecurityWatch .
Після встановлення додаток додається до списку елементів поточного входу для користувача, до списку програм, які запускаються автоматично, коли користувач входить у Mac. Зловмисне програмне забезпечення завантажило знімки екрана на два сервери команд і управління - один у Нідерландах, а другий у Франції.
Основна мета сервера команд і управління - зібрати всі знімки екрана, але він також зберігає імена хостів та додаткову інформацію про заражені машини, сказав Ботезату. Дослідники BitDefender виявили, що другий варіант заднього кузова Mac також спілкувався із сервером в Румунії для завантаження додаткових корисних навантажень та компонентів.
Можливо, цей сервер буде виконуватись як резервна копія злочинців, якщо інші сервери будуть призупинені, сказав Ботезату.
Незважаючи на те, що саме шкідливе програмне забезпечення було "непрофільоване", воно все ще здатне збирати інформацію про діяльність користувача на цьому комп'ютері, "не створюючи занадто багато шуму", - сказав Ботезату.
Чи був викрадений Apple ID?
Зловмисне програмне забезпечення було підписано дійсним ідентифікатором розробника Apple, що означало, що його не буде виявлено функцією Gatekeeper в Mac OS X. Apple представила Gatekeeper, який запобігає виконанню непідписаних програм, завантажених з Інтернету, в Mac OS X Mountain Lion і Lion v10.7.5 минулого року. BitDefender вважає, що це перша частина зловмисного програмного забезпечення для Mac, що має цифровий підпис із законним Apple ID.
Наразі невідомо, чи ключ був викрадений у законного розробника, чи розробник зловмисного програмного забезпечення вводив Apple у створення ідентифікатора. Зважаючи на те, що ім’я схоже на відому зірку Боллівуда, яка померла нещодавно, ймовірно, розробник створив підроблену ідентифікацію як частину процесу подання заявки, сказав Ботезату.
Користувачі можуть заглядати у свої домашні каталоги, щоб побачити, чи існує папка MacApp, щоб з’ясувати, чи заражені вони.
Хоча зловмисне програмне забезпечення «кульгало», оскільки воно було легко виявлено, воно все ще було «смертельним», - зазначив Аппельбаум. "Проблема полягає в тому, що автор був досить добрим, щоб когось загрожувати смертельної небезпеки", - написав Аппельбаум у Twitter.