Spyware na Maka zrobi ci zrzut ekranu
Na warsztatach podczas Oslo Freedom Forum, Jacob Applebaum wykrył na Macu afrykańskiego działacza nieznane wcześniej złośliwe oprogramowanie. Wydawcy antywirusa F-Secure zbadali malware i podzielili się szczegółami na jego temat. Złośliwy program został nazwany przez mianem "OSX/KitM.A". Pod tym imieniem kryje się aplikacja o nazwie "Mac". Jest ona obecna w elementach Login.
Złośliwe oprogramowanie zostało przekazane za pośrednictwem e-mail phishingu. Appelbaum otrzymał dostęp do tych e-maili oraz posiada zaktualizowaną wersję oprogramowania. Specjalista zamierza opublikować dalsze szczegóły na temat zagrożenia.
Podczas swojego działania, aplikacja regularnie wykonuje zrzuty ekranu, które przechowuje w folderze oznaczonym "MacApp". Szkodnik starał się nawiązać kontakt z dwoma serwerami command-and-control, jednak próba połączenia z jednym z nich się nie powiodła, natomiast drugi był nieaktywny.
Najdziwniejsze w tym przypadku jest to, że katalog macs.app, na który zapisywane są zrzuty, został cyfrowo podpisany przez swojego autora. W systemie Mac OS X Apple wprowadziło dodatkową ochronę w postaci Gatekeeper. Oznacza to, że aplikacje muszą zostać podpisane za pomocą ID Apple Developera. W przeciwnym razie Gatekeeper przedstawi użytkownikowi ostrzeżenie. Szkodnik został podpisany za pomocą obcego klucza lub... być może, twórca złośliwego oprogramowania jest niezwykle łatwy do wyśledzenia.