Biztonsági kutatók egy olyan OS X alatt futó kártevőre lettek figyelmesek, melynek segítségével ismeretlenek angolai aktivisták számítógépes adatai után kémkedtek.
A kártevőre Jacob Appelbaum biztonsági tanácsadó figyelt fel egy angolai aktivista gépén, aki a postafiókjába korábban célzottan olyan kéretlen leveket kapott, melyek melléklete fertőzött volt. A kártevő titokban képernyőfotókat készített, majd ezeket egy MacsApp nevezetű mappában tárolta. Ezeket a screenshotokat két különböző távoli szerverre kísérelte meg elküldeni: "securitytable.org" és "docsforum.info.
Érdekességképpen érdemes utánanézni, hogy ezeket a doméneket egy közös orosz emailcímről regisztrálták nagyjából bő egy hónappal ezelőtt. A kutató szerint a vizsgálatkor kezdetben még nem jeleztek rá az antivírus programok, amit a VirusTotal segítségével ellenőrzött. A kártevő minden egyes gépindításkor, vagy bejelentkezéskor automatikusan lefut, ezt látni is lehet az futó alkalmazások listájában, ahol "macs Application" néven szerepel. A kis kártevő abban is egyedülálló, hogy ráadásul látszólag egy valódi, érvényes Apple Developer ID-hez köthető, és ezzel kísérletet tett a 10.8-as Apple Gatekeeper Execution Prevention technológia megkerülésére.
Időközben több antivírusgyártóhoz eljutott már a minta, és így azóta többen felismerik a vírusirtó programok közül. Elemzésekor több kutató is annak a véleményének adott hangot, hogy programozástechnikailag ez egy elég silány munka, például a képernyőképeket is egy másik parancssori program futtatásával készíti, illetve a fertőzéshez mindenképpen szükséges a felhasználó megtévesztése is, hogy hajlandó legyen idegen forrásból származó programot telepíteni, magyarul kattintson. Igaz, azt is elismerik egyúttal, hogy mindezek dacára működőképes ez a fajta kémkedéses támadás. Az ESET termékei május 18. óta OSX/Kitm.A trójaiként detektálják ezt a kártevőt.
Az incidensről az oslói Freedom Forumon is beszámolt Jacob Appelbaum, felhívva ezáltal a figyelmet a nagy nyilvánosság előtt is az ilyen típusú, világszerte jelentkező veszélyekre. Nem árt ugyanis tisztában lenni azzal, hogy számos olyan kevésbé demokratikus ország létezik, ahol a szabad véleménynyilvánítást erőteljesen korlátozzák, vagy éppen elfojtják, a másként gondolkodókat megfigyelik, akik pedig valamilyen formában, például közösségi oldalakon mégis hangot adnak olyan nézeteknek, amelyek a hatalom szemében nem kívánatosak, akár az életüket vagy hosszú börtönbüntetést is kockáztatnak.
Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2013.05.24. 07:15:57
www.macworld.com/article/2039640/researchers-find-more-versions-of-digitally-signed-mac-os-x-spyware.html