Video: HP Printer Driver Certificate Issue! “Driver will Damage your Computer” (September 2024)
Forskare har upptäckt skadlig programvara som utformats för att spionera på användare på en angolansk aktivists Mac.
Den oberoende säkerhetsforskaren Jacob Appelbaum upptäckte den nya och tidigare okända bakdörren på aktivistens Mac medan han var på The Oslo Freedom Forum, skrev Appelbaum på Twitter. Han upptäckte en andra variant på en annan aktivists dator kort därefter.
"Det verkar vara en helt ny bit av malware med helt nytt beteende, " sa BitDefenders Bogdan Botezatu till SecurityWatch .
Åtminstone i fallet med den första attacken var aktivisten offer för en spjutfiskattack där han lockades att ladda ner och installera skadlig programvara medan han var inloggad på Mac, sa Botezatu.
Vad skadlig programvara gör
Bakdörrprogrammet verkar ta skärmdumpar av användarens dator och lagrar dem i en mapp i användarens hemmakatalog som heter MacApp, skrev F-Secures Sean Sullivan på företagets blogg. F-Secure-forskare misstänker att det är kommersiellt utvecklat, sa Sullivan till SecurityWatch .
När den var installerad bifogade applikationen sig till den aktuella användarens lista över inloggningsobjekt, en lista med applikationer som körs automatiskt när användaren loggar in på Mac. Det skadliga programmet laddade upp skärmdumparna till två kommando- och kontrollserver - en i Nederländerna och den andra i Frankrike.
Kommandot-och-kontrollserverns primära syfte är att samla in alla skärmdumpar, men den lagrar också värdnamn och ytterligare information om infekterade maskiner, sade Botezatu. BitDefender-forskare upptäckte att den andra varianten av Mac-bakdörren också kommunicerade med en server i Rumänien för att ladda ner ytterligare nyttolaster och komponenter.
Det är möjligt att denna server kommer att fungera som ett fallback för brottslingar om de andra servrarna blir avstängd, sa Botezatu.
Medan själva skadeprogrammet var "osofistiskt", kunde det fortfarande samla information om användarens aktiviteter på datorn "utan att göra för mycket ljud, " sa Botezatu.
Var Apple ID stulen?
Malware undertecknades med ett giltigt Apple Developer ID, vilket innebar att det inte skulle upptäckas av Gatekeeper-funktionaliteten i Mac OS X. Apple introducerade Gatekeeper, som förhindrar att inte signerade applikationer som laddats ner från Internet körs i Mac OS X Mountain Lion and Lion v10.7.5 förra året. BitDefender anser att detta är den första biten av Mac-skadlig programvara som är digitalt signerad med ett legitimt Apple-ID.
Det är inte känt för tillfället om nyckeln stulits från en legitim utvecklare, eller om malware-utvecklaren lurade Apple att generera ID. Med tanke på namnet liknar en berömd Bollywood-stjärna som dött nyligen, är det troligt att utvecklaren skapade en falsk identitet som en del av ansökningsprocessen, sade Botezatu.
Användare kan titta i sina hemkataloger för att se om det finns en MacApp-mapp för att ta reda på om de har smittats.
Medan skadlig kod var "halt" eftersom det lätt upptäcktes, var det fortfarande "dödligt", sa Appelbaum. "Problemet är att författaren var tillräckligt bra för att få någon i dödlig fara", skrev Appelbaum på Twitter.
