Новое шпионское ПО для OS X с сертификатом от Apple
Недавно был обнаружен шпион Kumar in the Mac (KitM) для OS X, и сейчас специалисты по безопасности детально изучают все его модификации. Один из образцов, как оказалось, датирован ещё декабрём прошлого года и направлен на немецкоговорящую аудиторию. Kumar in the Mac также известен узкому кругу специалистов под названием HackBack. Разновидность этого шпиона – бэкдор. Он умеет делать скриншоты и загружать их на удалённый сервер. На заражённом компьютере захватчик может выполнять также определённые команды, так как бэкдор может открывать доступ к shell. Изначально такое вот вредоносное программное обеспечение было обнаружено на лэптопе достаточно известного ангольского активиста, который прибыл на конференцию по защите прав человека Freedom Forum, проходящую в норвежской столице. Очень интересно то, что шпион подписан Apple Developer ID, специальным сертификатом от Apple на имя Раджиндера Кумара. Напомним, что приложения, подписанные таким образом, пропускаются встроенной системой безопасности OS X Gatekeeper, проверяющей происхождение файлов для определения их возможной опасности. Самые первые образцы шпиона были обнаружены на прошлой неделе. Удалось выяснить, что они были соединены с румынскими и голландскими серверами. Информации пока что мало, но в прошлую среду специалисты смогли получить от одного из немецких исследователей гораздо больше образцов KitM, которые использовались для направленных атак и распространялись через фишинговые письма. Абсолютно все обнаруженные образцы подписаны одним и тем же сертификатом на имя Раджиндера Кумара. Купертиновцы отозвали его сразу, как только шпион был обнаружен, но тем, кто успел уже заразиться, это никак не поможет. Дело в том, что система Gatekeeper проверяет файл только один раз перед первым запуском, без дополнительных повторных проверок. Именно поэтому файлы и дальше будут функционировать, если их один раз уже запустили. Ещё одна проблема в том, что далеко не все шпионы обнаружены, а потому «яблочный» бренд не может применить для защиты другую свою функцию XProtect.
