Újabb Mac-es trójai kártevő

2013. május 23. 11:29 - Csizmazia Darab István [Rambo]

Biztonsági kutatók egy olyan OS X alatt futó kártevőre lettek figyelmesek, melynek segítségével ismeretlenek angolai aktivisták számítógépes adatai után kémkedtek.

A kártevőre Jacob Appelbaum biztonsági tanácsadó figyelt fel egy angolai aktivista gépén, aki a postafiókjába korábban célzottan olyan kéretlen leveket kapott, melyek melléklete fertőzött volt. A kártevő titokban képernyőfotókat készített, majd ezeket egy MacsApp nevezetű mappában tárolta. Ezeket a screenshotokat két különböző távoli szerverre kísérelte meg elküldeni: "securitytable.org" és "docsforum.info.

Érdekességképpen érdemes utánanézni, hogy ezeket a doméneket egy közös orosz emailcímről regisztrálták nagyjából bő egy hónappal ezelőtt. A kutató szerint a vizsgálatkor kezdetben még nem jeleztek rá az antivírus programok, amit a VirusTotal segítségével ellenőrzött. A kártevő minden egyes gépindításkor, vagy bejelentkezéskor automatikusan lefut, ezt látni is lehet az futó alkalmazások listájában, ahol "macs Application" néven szerepel. A kis kártevő abban is egyedülálló, hogy ráadásul látszólag egy valódi, érvényes Apple Developer ID-hez köthető, és ezzel kísérletet tett a 10.8-as Apple Gatekeeper Execution Prevention technológia megkerülésére.

Időközben több antivírusgyártóhoz eljutott már a minta, és így azóta többen felismerik a vírusirtó programok közül. Elemzésekor több kutató is annak a véleményének adott hangot, hogy programozástechnikailag ez egy elég silány munka, például a képernyőképeket is egy másik parancssori program futtatásával készíti, illetve a fertőzéshez mindenképpen szükséges a felhasználó megtévesztése is, hogy hajlandó legyen idegen forrásból származó programot telepíteni, magyarul kattintson. Igaz, azt is elismerik egyúttal, hogy mindezek dacára működőképes ez a fajta kémkedéses támadás. Az ESET termékei május 18. óta OSX/Kitm.A trójaiként detektálják ezt a kártevőt.

Az incidensről az oslói Freedom Forumon is beszámolt Jacob Appelbaum, felhívva ezáltal a figyelmet a nagy nyilvánosság előtt is az ilyen típusú, világszerte jelentkező veszélyekre. Nem árt ugyanis tisztában lenni azzal, hogy számos olyan kevésbé demokratikus ország létezik, ahol a szabad véleménynyilvánítást erőteljesen korlátozzák, vagy éppen elfojtják, a másként gondolkodókat megfigyelik, akik pedig valamilyen formában, például közösségi oldalakon mégis hangot adnak olyan nézeteknek, amelyek a hatalom szemében nem kívánatosak, akár az életüket vagy hosszú börtönbüntetést is kockáztatnak.

1 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr735314201

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.