Varnostni strokovnjaki so identificirali številne vzorce nedavno odkritega vohunskega KitM za Mac OS X, od katerih je eden datiran decembra 2012 in poslan nemško govorečim uporabnikom. KitM (Kumar v Macu), znan tudi kot HackBack, je backdoor, ki odvzame nedovoljene posnetke zaslona in jih prenese na oddaljeni strežnik. Omogoča tudi dostop do ukazne lupine, ki omogoča napadalcu izvrševanje ukazov na okuženem računalniku.
Zlonamerna programska oprema je bila prvotno odkrita v MacBooku angolskega aktivista, ki se je udeležil konference o človekovih pravicah v Freedom Forumu v Oslu. Najbolj zanimiva stvar pri KitM je, da je podpisana z veljavno Apple Developer ID, potrdilom, ki ga je Apple izdal določenemu Rajinderju Kumarju. Aplikacije, podpisane s programom Apple Developer ID, preidejo z integriranim varnostnim sistemom Gatekeeper, OS X, ki preverja izvor datotek in ugotavlja, ali so potencialno nevarne za sistem.
Prva dva vzorca KitM, najdena prejšnji teden, sta bila povezana s strežniki na Nizozemskem in v Romuniji. V sredo so strokovnjaki F-Secure od nemškega raziskovalca prejeli več vzorcev KitM. Ti vzorci so bili uporabljeni za ciljne napade od decembra do februarja in so bili distribuirani prek e-pošte z lažnim predstavljanjem, ki vsebuje arhive zip z imeni, kot so Christmas_Card.app.zip, Content_for_Article.app.zip, Interview_Venue_and_Questions.zip Lebenslauf_fur_Praktitkum.zip.
KitMovi namestitveni programi, ki so jih vsebovali ti arhivi, so bile izvedljive datoteke Mach-O, katerih ikone so bile zamenjane z ikonami slik, video datotek, dokumentov PDF in Microsoft Worda. Podoben trik se pogosto uporablja za distribucijo zlonamerne programske opreme v sistemu Windows.
Vse ugotovljene KitM vzorce podpiše isti certifikat Rajinder Kumar, ki ga je Apple spomnil prejšnji teden, takoj po odkritju KitM, vendar to ne bo pomagalo tistim, ki so se že okužili.
»Varnostnik hrani datoteko v karanteni do trenutka, ko je prvič izvršena, « je povedal Bogdan Botezatu, višji analitik pri podjetju Bitdefender. »Če je datoteka prestala preverjanje ob prvem zagonu, se bo nadaljevala, ker Varnostnik ne bo izvedel ponovnega testiranja. Zato bo zlonamerna programska oprema, ki se je zagnala enkrat s pravilnim potrdilom, še naprej delovala tudi po preklicu."
Apple lahko uporabi drugo varnostno funkcijo, imenovano XProtect, da črne sezname znanih KitM datotek. Vendar pa se spremembe "vohunskega programa" ne zaznajo, dokler njihov čas ne bo deloval.
Edini način, s katerim lahko Mac uporabniki preprečijo izvajanje kakršnekoli podpisane zlonamerne programske opreme na računalniku, je sprememba nastavitev vratarja, tako da se smejo zagnati samo tiste aplikacije, ki so bile nameščene iz trgovine Mac App Store, pravijo strokovnjaki F-Secure.
Vendar pa je za poslovne uporabnike takšna nastavitev preprosto nemogoča, saj onemogoča uporabo skoraj vseh pisarniških programov in še posebej lastnih poslovnih aplikacij, ki so razvite za notranjo uporabo in niso določene v trgovini Mac App Store.
(prek)
