Para peneliti menemukan lebih versi digital ditandatangani Mac OS X spyware | Ini Blog ku - Hacking News
Ini Blog Ku - Hacking News

May 24, 2013

Para peneliti menemukan lebih versi digital ditandatangani Mac OS X spyware

Peneliti keamanan telah mengidentifikasi beberapa sampel yang baru saja ditemukan "KitM" spyware untuk Mac OS X, termasuk satu dating kembali ke Desember 2012 dan menargetkan pengguna berbahasa Jerman.

KitM (Kumar di Mac), juga dikenal sebagai HackBack, adalah sebuah program backdoor-jenis yang mengambil screen shot tidak sah dan upload ke remote C & C (command-and-control) server. Ini juga membuka reverse shell yang memungkinkan penyerang untuk mengeksekusi perintah pada komputer yang terinfeksi.

[Pelajari cara untuk mengamankan sistem Anda dengan Browser Deep Dive laporan khusus PDF Web dan Keamanan buletin Tengah, baik dari InfoWorld. ]

Malware awalnya ditemukan pekan lalu di laptop Mac dari seorang aktivis Angola di Oslo Freedom Forum, sebuah konferensi hak asasi manusia di Norwegia, oleh peneliti keamanan dan aktivis privasi Jacob Appelbaum.

Aspek paling menarik dari KitM adalah bahwa hal itu telah ditandatangani dengan valid Pengembang Apple ID, sertifikat kode-penandatanganan, yang dikeluarkan oleh Apple untuk seseorang bernama "Rajinder Kumar." Aplikasi ditandatangani dengan valid Pengembang Apple ID memotong fitur keamanan Gatekeeper di Mac OS X Mountain Lion, yang memverifikasi asal file untuk menentukan apakah mereka menimbulkan risiko apapun ke sistem.

Dua sampel KitM ditemukan pekan lalu terhubung kembali ke server C & C host di Belanda dan Rumania. Para peneliti dari vendor keamanan Norman Shark mengaitkan nama domain dari server mereka ke infrastruktur serangan dari kampanye cyberespionage besar India asal dijuluki "Operasi Hangover."

Pada hari Rabu, para peneliti F-Secure diperoleh varian lebih KitM dari penyidik ​​Jerman berbasis. Sampel ini digunakan dalam serangan yang ditargetkan antara Desember dan Februari dan didistribusikan melalui email tombak-phishing membawa. Arsip zip, para peneliti F-Secure mengatakan dalam sebuah posting blog.

beberapa lampiran berbahaya disebut Christmas_Card.app.zip, Content_for_Article.app.zip, Interview_Venue_and_Questions.zip, Content_of_article_for_[NAME REMOVED].app.zip and Lebenslauf_fur_Praktitkum.zip.

"Meskipun muatan phishing tombak tidak terlalu 'canggih,' menggunakan kampanye lokalisasi Jerman dan nama target (dihapus dalam contoh di atas) tidak menunjukkan penyerang telah melakukan beberapa pekerjaan rumah," kata para peneliti F-Secure Kamis dalam berbeda posting blog.

Installer KitM terkandung dalam arsip zip. Adalah Mach-O executable, tetapi memiliki ikon sesuai dengan gambar dan file video, Adobe PDF dokumen dan dokumen Microsoft Word. Ini adalah trik yang sering terlihat dengan malware Windows didistribusikan melalui email.

Varian KitM baru ditemukan semuanya ditandatangani dengan sertifikat yang sama Rajinder Kumar. Apple dicabut ini ID Pengembang pekan lalu, setelah sampel pertama ditemukan, namun ini tidak akan segera membantu korban yang ada, menurut Bogdan Botezatu, analis e-ancaman senior di vendor antivirus BitDefender.

 Sources : Indo world

Artikel Terkait

0komentar:

Post a Comment