De nouvelles versions de logiciels espions trouvés pour OS X
Makradar De La Technologie / / December 19, 2019
Les experts en sécurité ont identifié de nombreux exemples de GCIT espion récemment découvert pour Mac OS X, dont un est destiné à germanophone daté Décembre 2012 utilisateurs. GCIT (Kumar dans le Mac), également connu sous le nom HackBack, est une porte dérobée, ce qui en fait des captures d'écran non autorisés et les télécharger sur un serveur distant. Il donne également accès à la coque, ce qui permet l'envahisseur d'exécuter des commandes sur l'ordinateur infecté.
A l'origine des logiciels malveillants, il a été trouvé sur les militants MacBook angolais qui assistent à la conférence des droits de l'homme à Oslo Freedom Forum. Le plus intéressant GCIT qu'il a signé un ID Apple Developer valide, un certificat délivré par Apple sur certains Rajinder Kumar. Applications signées par Apple ID développeur, passé le Gatekeeper, intégré dans le système de sécurité OS X, qui vérifie l'origine du fichier pour déterminer la menace possible du système.
Les deux premiers échantillons GCIT, découverts la semaine dernière ont été connectés à des serveurs aux Pays-Bas et la Roumanie. Mercredi, les experts F-Secure ont reçu plusieurs échantillons de GCIT du chercheur de l'Allemagne. Ces échantillons ont été utilisés pour les attaques ciblées au cours de la période allant de Décembre à Février, et distribués par courriels d'hameçonnage contenant des fichiers zip avec des noms à la fois Christmas_Card.app.zip, Content_for_Article.app.zip, Interview_Venue_and_Questions.zip, Content_of_article_for_ [NOM removed] .app.zip et Lebenslauf_fur_Praktitkum.zip.
Figurant dans le GCIT de ces archives est un fichier exécutable au format Mach-O, dont les icônes ont été remplacées par des images icônes, vidéos, documents PDF et Microsoft Word. trick Un tel est souvent utilisé pour distribuer des logiciels malveillants sur Windows.
Tous les échantillons ont été trouvés GCIT signé par le même certificat Rajinder Kumar, dont Apple Il a rappelé la semaine dernière, immédiatement après la détection GCIT, mais il ne va pas aider ceux qui ont déjà infecté.
«Gatekeeper conserve un fichier en quarantaine jusqu'à ce moment où il effectue d'abord, » - dit Bogdan Botezatu, analyste senior chez antivirus Bitdefender société. « Si le fichier a été vérifié au premier démarrage, il va commencer et continuer, comme Gatekeeper ne procédera pas à un nouvel examen. Par conséquent, les logiciels malveillants qui a été lancé une première fois en utilisant le certificat correct continuera à fonctionner et après son retrait ».
Apple peut utiliser une fonction de protection différente appelée XProtect, à ajouter à la liste noire des fichiers GCIT connus. Cependant, pas trouvé avant alors modifier « espion » continuera à fonctionner.
La seule façon les utilisateurs de Mac peuvent empêcher l'exécution de l'un des logiciels malveillants signé sur votre ordinateur est de changer les paramètres gardien ce qui était autorisé à exécuter uniquement les applications qui ont été installées sur le Mac App Store, disent les experts F-Secure.
Cependant, pour les utilisateurs de l'entreprise, cette configuration est tout simplement impossible, car Il est impossible d'utiliser pratiquement tous les bureaux Logiciel, et surtout - de leurs propres applications d'entreprise sont développés pour un usage interne et non disposés dans le Mac App Store.
(via)