Video: Полный обзор macOS – для тех, кто перешел с Windows (Decembris 2024)
Pētnieki ir atklājuši ļaunprātīgu programmatūru, kas izstrādāta, lai izspiegotu lietotājus Angolas aktīvista Mac datorā.
Neatkarīgais drošības pētnieks Jēkabs Appelbaums, atrodoties Oslo brīvības forumā, atklāja jauno un iepriekš nezināmo aizmugures skatu aktīvista Mac datorā, Appelbaum rakstīja Twitter. Neilgi pēc tam viņš cita aktīvista datorā atklāja otro variantu.
"Šķiet, ka tas ir pilnīgi jauns ļaunprātīgas programmatūras gabals ar pilnīgi jaunu izturēšanos, " BitDefender pārstāvis Bogdan Botezatu pastāstīja SecurityWatch .
Vismaz pirmā uzbrukuma gadījumā aktīvists bija kļuvis par šķēpa pikšķerēšanas uzbrukuma upuri, kurā viņš bija pievilināts lejupielādēt un instalēt ļaunprogrammatūru, kamēr bija pieteicies Mac, sacīja Botezatu.
Ko dara ļaunprātīgā programmatūra
Šķiet, ka aizmugures lietojumprogramma uzņem lietotāja datora ekrānuzņēmumus un saglabā tos mapē lietotāja mājas direktorijā ar nosaukumu MacApp, F-Secure pārstāvis Seans Sullivans rakstīja uzņēmuma emuārā. F-Secure pētniekiem ir aizdomas, ka tas ir komerciāli izstrādāts, Sullivan pastāstīja SecurityWatch .
Pēc instalēšanas lietojumprogramma pievienojās pašreizējā lietotāja pieteikšanās vienumu sarakstam - to lietojumprogrammu sarakstam, kuras automātiski tiek palaistas, lietotājam piesakoties Mac. Ļaunprātīgā programmatūra augšupielādēja ekrānuzņēmumus divos komandu vadības un kontroles serveros - vienā Nīderlandē, bet otrā Francijā.
Komandu un kontroles servera galvenais mērķis ir apkopot visu ekrānuzņēmumu, taču tajā tiek glabāti arī resursdatora nosaukumi un papildu informācija par inficētajām mašīnām, sacīja Botezatu. BitDefender pētnieki atklāja, ka otrais Mac aizmugurējās durvis variants sazinājās arī ar serveri Rumānijā, lai lejupielādētu papildu kravas un komponentus.
Iespējams, ka šis serveris darbosies kā rezerves līdzeklis noziedzniekiem, ja pārējie serveri tiks apturēti, sacīja Botezatu.
Kamēr pati ļaunprātīgā programmatūra bija "neizsmalcināta", tā joprojām varēja savākt informāciju par lietotāja darbībām šajā datorā ", neradot pārāk lielu troksni", sacīja Botezatu.
Vai Apple ID tika nozagts?
Ļaunprātīgā programmatūra tika parakstīta ar derīgu Apple Developer ID, kas nozīmēja, ka to nevarēs atklāt operētājsistēmas Gatekeeper funkcionalitāte operētājsistēmā Mac OS X. Apple ieviesa Gatekeeper, kas neļauj izpildīt neparakstītas lietojumprogrammas, kas lejupielādētas no interneta, Mac OS X Mountain Lion un Lion. v10.7.5 pagājušajā gadā. BitDefender uzskata, ka šis ir pirmais Mac ļaunprātīgās programmatūras gabals, kas digitāli parakstīts ar likumīgu Apple ID.
Šobrīd nav zināms, vai atslēga tika nozagta no likumīga izstrādātāja, vai arī ļaunprogrammatūras izstrādātājs ir licis Apple ģenerēt ID. Ņemot vērā, ka nosaukums ir līdzīgs slavenajai Bolivudas zvaigznei, kura nesen aizgāja bojā, iespējams, ka izstrādātājs pieteikuma procesa laikā izveidoja viltotu identitāti, sacīja Botezatu.
Lietotāji var meklēt mājas direktorijos, lai redzētu, vai ir MacApp mape, lai noskaidrotu, vai viņi ir inficēti.
Kamēr ļaunprogrammatūra bija “kliba”, jo tā tika viegli atklāta, tā joprojām bija “nāvējoša”, sacīja Appelbaum. "Problēma ir tā, ka autors bija pietiekami labs, lai kādu nokļūtu mirstīgās briesmās, " Appelbaums rakstīja Twitter.
