Vídeo: Краткий обзор macOS Big Sur: Лучшие новые фишки! (Setembre 2024)
Els investigadors han descobert programari maliciós dissenyat per espiar usuaris en un Mac activista angolès.
L’investigador independent de seguretat Jacob Appelbaum va descobrir la nova porta d’entrada desconeguda al Mac de l’activista mentre es trobava a The Oslo Freedom Forum, va escriure Appelbaum a Twitter. Poc després, va descobrir una segona variant a l'ordinador d'un altre activista.
"Sembla ser un programari maliciós totalment nou amb un comportament totalment nou", va dir Bogdan Botezatu, de BitDefender, a SecurityWatch .
Almenys en el cas del primer atac, l’activista va ser víctima d’un atac de pesca contra la llança en què es va atreure a descarregar i instal·lar el programari maliciós mentre es connectava al Mac, va dir Botezatu.
Què fa el programari maliciós
L’aplicació de darrera part sembla que captura captures de pantalla de l’ordinador de l’usuari i les emmagatzema en una carpeta del directori de l’usuari anomenat MacApp, va escriure Sean Sullivan de F-Secure al bloc de la companyia. Els investigadors de F-Secure sospiten que es desenvolupés comercialment, va dir Sullivan a SecurityWatch .
Una vegada instal·lada, l’aplicació es va adjuntar a la llista d’usuaris d’inici de sessió de l’usuari actual, una llista d’aplicacions que s’executen automàticament quan l’usuari inicia la sessió al Mac. El programari maliciós va penjar les captures de pantalla a dos servidors de comandament i control: un als Països Baixos i l'altre a França.
El propòsit principal del servidor de comandaments i control és recopilar tota la captura de pantalla, però també emmagatzema els noms d’host i informació addicional sobre les màquines infectades, va dir Botezatu. Els investigadors de BitDefender van descobrir que la segona variant de la porta posterior de Mac també es va comunicar amb un servidor a Romania per descarregar càrregues i components addicionals addicionals.
És possible que aquest servidor actuï com a fallback per als delinqüents si els altres servidors se suspenen, va dir Botezatu.
Si bé el programari maliciós no era "poc sofisticat", encara era capaç de recopilar informació sobre les activitats de l'usuari en aquest ordinador "sense fer massa soroll", va dir Botezatu.
Es va robar la identificació d'Apple?
El programari maliciós es va signar amb un identificador vàlid d'Apple Developer, cosa que significa que no es detectaria per la funcionalitat de Gatekeeper a Mac OS X. Apple va introduir Gatekeeper, que impedeix que les aplicacions no signades que es descarreguen d'Internet s'executin, a Mac OS X Mountain Lion i Lion. v10.7.5 l’any passat. BitDefender creu que es tracta de la primera peça de programari maliciós Mac signada digitalment amb un ID Apple legítim.
En aquest moment no se sap si la clau va ser robada a un desenvolupador legítim o si el desenvolupador de programari maliciós va enganyar Apple a generar la identificació. Tenint en compte que el nom és similar a una famosa estrella de Bollywood que va morir recentment, és probable que el desenvolupador hagi creat una identitat falsa com a part del procés de sol·licitud, va dir Botezatu.
Els usuaris poden buscar els seus directoris d'inici per veure si hi ha una carpeta MacApp per esbrinar si han estat infectats.
Si bé el programari maliciós era "coix" des que es va detectar fàcilment, encara era "mortal", va dir Appelbaum. "El problema és que l'autor era prou bo com per posar algú en perill mortal", va escriure Appelbaum a Twitter.
