Video: Обзор macOS Catalina — НЕ СТАВИТЬ! (Mayıs 2024)
Araştırmacılar, bir Angola aktivistinin Mac'indeki kullanıcıları gözetlemek için tasarlanmış kötü amaçlı yazılımları ortaya çıkardılar.
Bağımsız güvenlik araştırmacısı Jacob Appelbaum, eylemcinin Mac'inde yeni ve daha önce bilinmeyen arka kapıyı keşfederken, Appelbaum, Oslo Özgürlük Forumu'nda Twitter'da yazdı. Kısa süre sonra başka bir aktivistin bilgisayarında ikinci bir değişken keşfetti.
BitDefender'dan Bogdan Botezatu, SecurityWatch'a “Yepyeni davranışa sahip yepyeni bir kötü amaçlı yazılım parçası gibi görünüyor” dedi.
Botezatu, en azından ilk saldırı durumunda, eylemcinin, Mac'e giriş yaparken kötü amaçlı yazılımı indirip kurmak için cezalandırıldığı bir mızrak phishing saldırısının kurbanı olduğunu söyledi.
Kötü Amaçlı Yazılım Ne Yapar?
Arka kapı uygulaması kullanıcının bilgisayarının ekran görüntülerini alıyor ve bunları kullanıcının MacApp adlı bir klasörde saklıyor, F-Secure'dan Sean Sullivan şirket blogunda yazıyor. F-Secure araştırmacıları ticari olarak geliştirildiğinden şüpheleniyorlar, Sullivan SecurityWatch'a söyledi.
Yüklendikten sonra, uygulama kendisini geçerli kullanıcının oturum açma öğeleri listesine, kullanıcı Mac'te oturum açtığında otomatik olarak çalışan uygulamaların listesine ekler. Kötü amaçlı yazılım, ekran görüntülerini biri Hollanda’da diğeri Fransa’da olmak üzere iki komut ve kontrol sunucusuna yükledi.
Botezatu, komut ve kontrol sunucusunun temel amacı tüm ekran görüntüsünü toplamak, ancak aynı zamanda ana bilgisayar adlarını ve virüs bulaşmış makineler hakkında ek bilgileri de saklıyor. BitDefender araştırmacıları, Mac arka kapısının ikinci varyantının, ek yükler ve bileşenler indirmek için Romanya'daki bir sunucu ile de iletişim kurduğunu keşfetti.
Botezatu, bu sunucunun, diğer sunucular askıya alındığında suçlular için geri dönüş olarak hareket etmesinin olası olduğunu söyledi.
Kötü amaçlı yazılımın kendisi "karmaşık" olsa da, kullanıcının bilgisayardaki faaliyetleri hakkında "fazla gürültü yapmadan" bilgi toplayabiliyordu, "dedi.
Apple Kimliği Çalındı mı?
Kötü amaçlı yazılım, geçerli bir Apple Geliştirici Kimliği ile imzalandı; bu, Mac OS X'teki Gatekeeper işlevselliği tarafından algılanmayacağı anlamına geliyordu. Apple, Internet'ten indirilen imzalanmamış uygulamaların Mac OS X Mountain Lion ve Lion'da çalışmasını engelleyen Gatekeeper'ı tanıttı. v10.7.5 geçen yıl. BitDefender, bunun meşru bir Apple kimliği ile dijital olarak imzalanan ilk Mac kötü amaçlı yazılım parçası olduğuna inanıyor.
Şu anda, anahtarın meşru bir geliştiriciden çalındığı veya kötü amaçlı yazılım geliştiricinin Apple'ı kimliği oluşturması için kandırdığı bilinmemektedir. Botezatu, ismin son zamanlarda vefat eden ünlü bir Bollywood yıldızına benzemesiyle, geliştiricinin başvuru sürecinin bir parçası olarak sahte bir kimlik yarattığını söyledi.
Kullanıcılar, etkilenip etkilenmediklerini bulmak için bir MacApp klasörü olup olmadığını görmek için giriş dizinlerine bakabilir.
Appelbaum, kötü amaçlı yazılımın kolayca algılanmasından bu yana "topal" olduğunu, ancak hala "ölümcül" olduğunu söyledi. Appelbaum, Twitter’da, “Sorun, yazarın birini ölümcül tehlikeye sokacak kadar iyiydi” dedi.
