Video: Is MacOS Malware? Is Apple spying on you? (Oktober 2024)
Forskere har afsløret malware, der er designet til at spionere på brugere på en angolansk aktivists Mac.
Den uafhængige sikkerhedsforsker Jacob Appelbaum opdagede den nye og tidligere ukendte bagdør på aktivistens Mac, mens han var på Oslo Freedom Forum, skrev Appelbaum på Twitter. Han opdagede en anden variant på en anden aktivists computer kort efter.
"Det ser ud til at være et helt nyt stykke malware med splinterny opførsel, " fortalte BitDefenders Bogdan Botezatu til SecurityWatch .
I det mindste i tilfælde af det første angreb var aktivisten offer for et spyd phishing-angreb, hvor han blev lokket til at downloade og installere malware, mens han var logget ind på Mac, sagde Botezatu.
Hvad ondsindet gør
Bagdørsprogrammet ser ud til at tage skærmbilleder af brugerens computer og gemmer dem i en mappe i brugerens hjemmekatalog kaldet MacApp, skrev F-Secures Sean Sullivan på firmabloggen. F-Secure-forskere har mistanke om, at det er kommercielt udviklet, fortalte Sullivan til SecurityWatch .
Når det var installeret, tilføjede applikationen sig selv til den aktuelle brugers liste over login-elementer, en liste over applikationer, der køres automatisk, når brugeren logger på Mac. Malwaren uploadede skærmbillederne til to kommando- og kontrolservere - den ene i Holland og den anden i Frankrig.
Kommandoen og kontrol-serverens primære formål er at samle alt skærmbillede, men det gemmer også værtsnavne og yderligere oplysninger om inficerede maskiner, sagde Botezatu. BitDefender-forskere opdagede, at den anden variant af Mac-bagdøren også kommunikerede med en server i Rumænien for at downloade yderligere nyttelast og komponenter.
Det er muligt, at denne server vil fungere som et tilbageslag for kriminelle, hvis de andre servere bliver suspenderet, sagde Botezatu.
Mens malware selv var "usofistikeret", var det stadig i stand til at indsamle oplysninger om brugerens aktiviteter på denne computer "uden at lave for meget støj, " sagde Botezatu.
Var Apple ID stjålet?
Malwaren blev underskrevet med et gyldigt Apple Developer ID, hvilket betød, at det ikke ville blive opdaget af Gatekeeper-funktionaliteten i Mac OS X. Apple introducerede Gatekeeper, som forhindrer, at usignerede applikationer, der er downloadet fra Internettet, udføres i Mac OS X Mountain Lion and Lion v10.7.5 sidste år. BitDefender mener, at dette er det første stykke Mac malware, der er signeret digitalt med et legitimt Apple ID.
Det vides ikke på nuværende tidspunkt, om nøglen blev stjålet fra en legitim udvikler, eller om malware-udvikleren narrede Apple til at generere ID. I betragtning af at navnet ligner en berømt Bollywood-stjerne, der døde for nylig, er det sandsynligvis, at udvikleren skabte en falsk identitet som en del af ansøgningsprocessen, sagde Botezatu.
Brugere kan se i deres hjemmekataloger for at se, om der er en MacApp-mappe, der kan finde ud af, om de er blevet inficeret.
Mens malware var "halt", da den let blev fundet, var den stadig "dødbringende", sagde Appelbaum. "Problemet er, at forfatteren var god nok til at få nogen i dødelig fare, " skrev Appelbaum på Twitter.
