Специалисты по безопасности идентифицировали многочисленные образцы недавно обнаруженного шпиона KitM для Mac OS X, один из которых датирован декабрем 2012 года и направлен на немецкоговорящих пользователей. KitM (Kumar in the Mac), также известный под названием HackBack, это бэкдор, который делает неавторизованные скриншоты и загружает их на удаленный сервер. Он также открывает доступ к shell, что позволяет захватчиком выполнять команды на зараженном компьютере.
Первоначально вредоносное ПО было обнаружено на макбуке ангольского активиста, посещавшего конференцию по правам человека Freedom Forum в Осло. Самое интересное в KitM то, что он подписан валидным Apple Developer ID, сертификатом, выпущенным Apple на некоего Раджиндера Кумара. Приложения, подписанные Apple Developer ID, пропускаются Gatekeeper, встроенной системой безопасности OS X, которая проверяет происхождение файлов для определения их возможной опасности для системы.
Первые два образца KitM, обнаруженные на прошлой неделе, были соединены с серверами в Нидерландах и Румынии. В среду специалисты F-Secure получили больше образцов KitM от исследователя из Германии. Эти образцы были использованы для направленных атак в период с декабря по февраль и распространялись через фишинговые письма, содержащие zip-архивы с такими именами, как Christmas_Card.app.zip, Content_for_Article.app.zip, Interview_Venue_and_Questions.zip, Content_of_article_for_[NAME REMOVED].app.zip и Lebenslauf_fur_Praktitkum.zip.
Содержащиеся в этих архивах установщики KitM являлись исполняемые файлы в формате Mach-O, чьи иконки были заменены на иконки изображений, видеофайлов, документов PDF и Microsoft Word. Подобный трюк часто используется для распространения вредоносного ПО на Windows.
Все обнаруженные образцы KitM подписаны одинаковым сертификатом Раджиндера Кумара, который Apple отозвала на прошлой неделе, сразу после обнаружения KitM, однако это не поможет тем, кто уже успел заразиться.
«Gatekeeper держит файл на карантине до того момента, как он будет впервые исполнен,» — говорит Богдан Ботезату, старший аналитик антивирусной компании Bitdefender. «Если файл прошел проверку при первом запуске, он будет запускаться и дальше, т.к. Gatekeeper не будет проводить повторной проверки. Поэтому вредоносное ПО, которое было запущено единожды с использованием корректного сертификата будет продолжать функционировать и после его отзыва.”
Apple может применить другую защитную функцию под названием XProtect, чтобы внести в черный список известные файлы KitM. Однако, не обнаруженные до их пор модификации «шпиона» продолжат функционировать.
Единственное, как пользователи Mac могут предотвратить исполнение любого подписанного вредоносного ПО на компьютере, это изменить настройки Gatekeeper так, чтобы был разрешен запуск только тех приложений, которые были установлены из Mac App Store, говорят специалисты F-Secure.
Однако для корпоративных пользователей такая настройка попросту невозможна, т.к. делает невозможным использование практически любого офисного ПО, а особенно — собственных корпоративных приложений, которые разрабатываются для внутреннего использования и не выкладываются в Mac App Store.
(via)