Tegnap számoltunk be arról a valódi, érvényes Apple Developer ID-vel rendelkező trójairól, amely kémkedett az áldozatok OS X alapú gépein. A vírusirtók egy jó része már felismeri, viszont beszámolók szerint több verziója is terjed.
Az OSX/Kitm.A trójaiként aposztrofált kártevő a fertőzött Macintosh számítógépeken titokban képernyőfotókat készít, és ezeket orosz e-mailcímről regisztrált távoli C&C vezérlőszerverekre kísérli meg feltölteni. Emellett nyit egy reverse shell-t is, melynek segítségével hátsó ajtót nyitva távoli parancsokat tud végrehajtatni a fertőzött gépen.
A "Kitm" elnevezés onnan jön, hogy a 10.8-as Apple Gatekeeper Execution Prevention technológia megkerülésére azért volt lehetőség, mert a trójai érvényes Apple Developer ID-vel rendelkezett, és ez pedig Rajender Kumar névre szól, vagyis KitM = "Kumar in the Mac". Bár az Apple egyébként azóta visszavonta ez a bizonyos Developer ID-t, ez a már megfertőződött áldozatoknak keveset fog segíteni.
A Bitdefender egyik elemzője szerint, ha egy kártevő már sikeresen átjutott a Gatekeeperen, akkor nem történik újra további ellenőrzés, vagy ismételt lekérdezés, így a korábban használt azonosító aláírással rendelkező program továbbra is szabadon futhat a gépeken. Mindössze annyit lehet tenni, hogy a legszigorúbb, azaz csak a Mac App Store-ból származó programok futását engedélyező opciót választjuk ki.
Az első két kártevő mintát még a múlt héten találták, ezek Hollandiában illetve Romániában hosztolt szerverekhez kapcsolódtak, és 2012. december és 2013. február között terjesztették őket kéretlen levelek ZIP mellékleteiben. Egyes kutatók ennek kapcsán úgy vélik, hogy lehetséges kapcsolat van a korábban említett nagy volumenű indiai kémkedési eset és a mostani Mac-es kémprogram között.
