Videó: How to remove a virus from MacBook — Basic malware check for Mac (November 2024)
A kutatók felfedezték azokat a rosszindulatú programokat, amelyek arra készültek, hogy kémkedjenek az angolai aktivista Mac számítógépein.
Jacob Appelbaum független biztonsági kutató felfedezte az új és korábban ismeretlen hátsó ajtót az aktivista Mac-jén, miközben az oslói szabadságfórumon írta, az Appelbaum a Twitter-en. Nem sokkal később felfedezte egy második változatot egy másik aktivista számítógépén.
"Úgy tűnik, hogy vadonatúj rosszindulatú darab, vadonatúj viselkedéssel" - mondta a BitDefender Bogdan Botezatu a SecurityWatch-nek .
Legalább az első támadás esetén az aktivista egy lándzsás adathalász támadás áldozata volt, amelyben rávetették a rosszindulatú programok letöltésére és telepítésére, miközben bejelentkeztek a Mac-be - mondta Botezatu.
Mit csinál a rosszindulatú program?
Úgy tűnik, hogy a hátsó ajtó alkalmazás képernyőképeket készít a felhasználó számítógépéről, és a felhasználói otthoni könyvtár MacApp nevű mappájában tárolja őket, az F-Secure Sean Sullivan írta a vállalati blogban. Az F-Secure kutatói azt gyanítják, hogy kereskedelemben fejlesztették ki - mondta Sullivan a SecurityWatch-nek .
A telepítés után az alkalmazás hozzákapcsolódott az aktuális felhasználó bejelentkezési elemeinek listájához, amely azon alkalmazások listája, amelyek automatikusan futnak, amikor a felhasználó bejelentkezik a Mac-be. A rosszindulatú program a képernyőképeket két parancs- és vezérlőszerverre töltötte fel - az egyik Hollandiában, a másik Franciaországban.
A parancs- és vezérlőkiszolgáló elsődleges célja az összes képernyőkép összegyűjtése, de tárolja a gazdaneveket és a fertőzött gépekkel kapcsolatos további információkat is - mondta Botezatu. A BitDefender kutatói felfedezték, hogy a Mac hátsó ajtó második változata egy romániai szerverrel is kommunikált, hogy további hasznos terheket és alkatrészeket töltsön le.
Lehetséges, hogy ez a szerver tartalékként fog működni a bűnözők számára, ha a többi szervert felfüggesztik - mondta Botezatu.
Miközben maga a rosszindulatú program "kifinomult", mégis képes volt információt gyűjteni a felhasználónak a számítógépen végzett tevékenységeiről anélkül, hogy túl sok zajt keltett volna "- mondta Botezatu.
Ellopták az Apple ID-t?
A rosszindulatú programot érvényes Apple Developer ID-vel írták alá, ami azt jelentette, hogy a Mac OS X Gatekeeper funkciója nem fogja észlelni azt. Az Apple bemutatta a Gatekeeper alkalmazást, amely megakadályozza az internetről letöltött alá nem írt alkalmazások végrehajtását a Mac OS X Mountain Lionban és Lionban. v10.7.5 tavaly. A BitDefender úgy véli, hogy ez az első olyan Mac rosszindulatú program, amelyet digitális Apple-azonosító aláírt.
Jelenleg nem ismert, hogy a kulcsot ellopták-e egy törvényes fejlesztőtől, vagy ha a rosszindulatú program-fejlesztő becsapta az Apple-t az azonosító előállítására. Mivel a név hasonló a nemrégiben elhunyt híres Bollywood csillaghoz, valószínűleg a fejlesztő hamis személyazonosságot hozott létre a jelentkezési folyamat részeként - mondta Botezatu.
A felhasználók megnézhetik az otthoni könyvtáraikban, hogy van-e MacApp mappák, hogy kiderítsék, fertőzöttek-e.
Míg a rosszindulatú program "sántas" volt, mivel könnyen felismerhető volt, mégis "halálos" - mondta Appelbaum. "A probléma az, hogy a szerző elég jó volt ahhoz, hogy valakit veszélyeztessen" - írta Appelbaum a Twitter-en.
