Video: Apple won't like this... - Run MacOS on ANY PC (Oktober 2024)
Forskere har avdekket skadelig programvare designet for å spionere på brukere på en angolsk aktivists Mac.
Den uavhengige sikkerhetsforskeren Jacob Appelbaum oppdaget den nye og tidligere ukjente bakdøren på aktivistens Mac mens han var på The Oslo Freedom Forum, skrev Appelbaum på Twitter. Han oppdaget en andre variant på en annen aktivists datamaskin like etterpå.
"Det ser ut til å være et helt nytt stykke malware med helt ny oppførsel, " sa BitDefenders Bogdan Botezatu til SecurityWatch .
I det minste i tilfelle av det første angrepet, var aktivisten offer for et spyd phishing-angrep der han ble lokket til å laste ned og installere skadelig programvare mens han var logget inn på Mac, sa Botezatu.
Hva skadelig programvare gjør
Bakdørsprogrammet ser ut til å ta skjermbilder av brukerens datamaskin og lagrer dem i en mappe i brukerens hjemmekatalog kalt MacApp, skrev F-Secures Sean Sullivan på firmabloggen. F-Secure forskere mistenker at den var kommersielt utviklet, sa Sullivan til SecurityWatch .
Når den var installert, la applikasjonen seg til den gjeldende brukerens liste over påloggingselementer, en liste over applikasjoner som kjøres automatisk når brukeren logger seg på Mac. Den skadelige programvaren lastet opp skjermbildene til to kommando- og kontrollservere - den ene i Nederland og den andre i Frankrike.
Kommandoen og kontroll-serverens primære formål er å samle inn hele skjermdumpen, men den lagrer også vertsnavnene og tilleggsinformasjon om infiserte maskiner, sa Botezatu. BitDefender-forskere oppdaget at den andre varianten av Mac-bakdøren også kommuniserte med en server i Romania for å laste ned ekstra nyttelaster og komponenter.
Det er mulig denne serveren vil fungere som et tilbakeslag for kriminelle hvis de andre serverne blir suspendert, sa Botezatu.
Mens skadelig programvare i seg selv var "usofistisert", var det fremdeles i stand til å samle informasjon om brukerens aktiviteter på den datamaskinen "uten å lage for mye støy, " sa Botezatu.
Ble Apple ID stjålet?
Den skadelige programvaren ble signert med en gyldig Apple Developer ID, noe som betydde at den ikke ville bli oppdaget av Gatekeeper-funksjonaliteten i Mac OS X. Apple introduserte Gatekeeper, som forhindrer at ikke signerte applikasjoner nedlastet fra Internett kjøres, i Mac OS X Mountain Lion and Lion v10.7.5 i fjor. BitDefender mener dette er det første stykke Mac-malware som er signert digitalt med en legitim Apple ID.
Det er ikke kjent på dette tidspunktet om nøkkelen ble stjålet fra en legitim utvikler, eller om malware-utvikleren lurte Apple til å generere ID-en. Tatt i betraktning at navnet ligner en kjent Bollywood-stjerne som gikk bort nylig, er det sannsynlig at utvikleren opprettet en falsk identitet som en del av søknadsprosessen, sa Botezatu.
Brukere kan se i hjemmekatalogene sine for å se om det er en MacApp-mappe for å finne ut om de har blitt smittet.
Mens skadelig programvare var "halt" siden den lett ble oppdaget, var den fremdeles "dødelig", sa Appelbaum. "Problemet er at forfatteren var god nok til å få noen i dødelig fare, " skrev Appelbaum på Twitter.
