Nuevas versiones de software espía encontrados para OS X

Los expertos en seguridad han identificado numerosos ejemplos de KitM espía descubierto recientemente para Mac OS X, uno de los cuales está dirigido a Germanófona fecha de diciembre de 2012 usuarios. KitM (Kumar en el Mac), también conocido como HackBack, es una puerta trasera, lo que hace que las capturas no autorizadas y subirlas a un servidor remoto. También proporciona acceso a la cubierta, lo que permite al invasor para ejecutar comandos en el equipo infectado.

Originalmente el malware se encontró en los MacBook activistas angoleños que asisten a la conferencia sobre derechos humanos en Oslo Freedom Forum. El KitM interesante más que firmó un ID de Apple desarrollador válida, un certificado emitido por Apple en algunos Rajinder Kumar. Las aplicaciones firmadas por Apple ID de desarrollador, pasado el Gatekeeper, una función de sistema de seguridad de OS X, que verifica el origen del archivo para determinar su posible amenaza para el sistema.

Las dos primeras muestras KitM, encontraron la semana pasada estaban conectados a los servidores en los Países Bajos y Rumania. El miércoles, los expertos de F-Secure recibieron más muestras KitM del investigador de Alemania. Estas muestras se utilizaron para los ataques dirigidos durante el período de diciembre a febrero, y se distribuyen a través de correos electrónicos de phishing que contiene archivos zip con los nombres tanto Christmas_Card.app.zip, Content_for_Article.app.zip, Interview_Venue_and_Questions.zip, Content_of_article_for_ [nombre sea retirado] .app.zip y Lebenslauf_fur_Praktitkum.zip.

Contenida en estos archivos instaladores KitM es un archivo ejecutable en el formato Mach-O, cuyos iconos han sido reemplazados por iconos imágenes, videos, PDF y documentos de Microsoft Word. un truco tan a menudo se utiliza para distribuir malware en Windows.

Todas las muestras se encontraron KitM firmado por el mismo certificado Rajinder Kumar, que Apple Recordó la semana pasada, inmediatamente después de la detección KitM, pero no va a ayudar a aquellos que ya tienen infectada.

«Gatekeeper mantiene un archivo en cuarentena hasta el momento en que se lleva a cabo en primer lugar," - dijo Bogdan Botezatu, un analista de la empresa de antivirus de Bitdefender. "Si el archivo ha sido comprobado en el primer arranque, se iniciará y continuará, como Gatekeeper no llevará a cabo un nuevo análisis. Por lo tanto, malware que se ha iniciado una vez usando el certificado correcto continuará operando y después de su retirada ".

Apple podría utilizar una función de protección diferente llamado XProtect, para añadir a la lista de negro de archivos KitM conocidos. Sin embargo, no se halló antes de esa modificar "espía" va a seguir funcionando.

La única manera los usuarios de Mac pueden prevenir la ejecución de cualquier parte del malware firmado en su equipo es para cambiar los ajustes portero de manera que se le permitió ejecutar sólo las aplicaciones que se han instalado en el Mac App Store, dicen los expertos de F-Secure.

Sin embargo, para los usuarios de la empresa, esta configuración es simplemente imposible, porque Esto hace que sea imposible utilizar prácticamente cualquier oficina Software, y sobre todo - de sus propias aplicaciones empresariales se han desarrollado para uso interno y no disponen en la App Mac Tienda.

(vía)