Ondrej Holzman Komputery Mac są atakowane przez nowe szkodliwe oprogramowanie, które wykonuje zrzuty ekranu bez wiedzy użytkownika, a następnie przesyła pliki na podejrzane serwery. Wirus ukrywa się pod aplikacją macs.app. Na razie jednak nie jest to zbyt powszechne.
Nowy rodzaj zagrożenia dla użytkowników komputerów Apple został wykryty na komputerze Mac jednego z uczestników Oslo Freedom Forum, międzynarodowej konferencji na temat praw człowieka organizowanej co roku w Oslo przez Fundację Praw Człowieka.
Po zainstalowaniu macs.app aplikacja działa w tle i po cichu wykonuje zrzuty ekranu. Każdy przechwycony obraz jest przechowywany w folderze Aplikacja na Maca w katalogu domowym, z którego przesyłane są pliki securitytable.org a docsforum.inf. Żadna domena nie jest dostępna.
[do action="tip"]Sprawdź, czy w katalogu domowym znajduje się folder Aplikacja na Maca (patrz zdjęcie).[/do]
Macs.app może działać na Twoim Macu, ponieważ w przeciwieństwie do innych złośliwych programów ma przypisany działający Apple Developer ID, co oznacza, że omija ochronę Gatekeepera. Numer identyfikacyjny należy do niejakiego Rajendera Kumara, a Apple ma możliwość zamrożenia jego praw, co prawdopodobnie również uniemożliwiłoby działanie wirusa. Możemy więc spodziewać się wczesnej interwencji kalifornijskiej firmy.
Dobrze wiedzieć. Ale po co miałbym to instalować (czy jest to aplikacja .app czy pakiet instalacyjny)?
Firma F-secure bada obecnie złośliwe oprogramowanie, aby lepiej określić jego pochodzenie, sposoby instalacji i sposób działania.
Nie wiem, w jakiej dokładnie formie jest pobierany, ale jeśli masz go na swoim komputerze, uruchamia się automatycznie po uruchomieniu komputera. Nie widzę jednak potrzeby instalowania tego.
Logicznie rzecz biorąc, użytkownik musi go uruchomić, jedynym pytaniem jest, czy jest on „w pakiecie” z jakąś aplikacją, legalną czy z crackiem, czy też otrzyma e-mail typu „Nagie zdjęcia, uruchom mnie teraz” i użytkownik go uruchomi.
Ponieważ wygląda prymitywnie (można go bardzo łatwo napisać w AppleScript) i zapisuje do folderu użytkownika, nie powinno nawet potrzebować hasła administratora, ale oceniam tylko na podstawie obrazu i informacji zawartych w artykule, to może być inaczej :)
Jeśli uruchamia się po uruchomieniu, powiedziałbym, że musi dokończyć instalację (nawet demona lub samą aplikację). Tak czy siak, jak pisze DJManas, zapisuje to do folderu użytkownika właśnie tak, aby nie było potrzeby podawania hasła. Nie rozumiem, dlaczego zapisuje to w „MacApp”, a nie „.MacApp” - w ten sposób nikt, kto nie ma widocznych ukrytych plików (a więc 90% ludzi), nie zauważy.
Większym problemem jest dla mnie to, że ktoś użył własnego identyfikatora programisty, aby ominąć GateKeepera – tutaj Apple musi zareagować bardzo szybko i zablokować te osoby na zawsze. Może widziałbym to w jakiejś funkcji „zgłoś jako spam/wirusa”, ukrytej gdzieś głęboko, aby Apple od razu zaczął sobie z tym radzić za każdym razem, gdy otrzyma więcej niż 1 takie powiadomienie o aplikacji.
Przyznaję, że nie mam swojego oficjalnego ID programisty, ale myślę, że wystarczy założyć e-mail, opłacić członkostwo, nawet jeśli to 900/- rocznie, a użytkownik jest „na żywo” i może grać ( jeśli nie wstawi tego bezpośrednio do AppStore), co może przynieść satysfakcję, ale nie wiem dokładnie jak to działa, niech ktoś mnie poprawi.
Z drugiej strony użytkownicy mogą mieć wyłączony GateKeeper, ponieważ instalują rzeczy z sieci, i przyznam, że też go wyłączyłem, ponieważ nie pozwolił mi zainstalować aplikacji, której normalnie używam, chyba był to OnyX wtedy (świeżo zainstalowany 10.8) i nie wykrył. Zastanawiam się, czy są już oficjalnymi programistami i mogę to włączyć…
Wyłączyłem to także dla mojej żony, ponieważ opracowałem kilka „aplikacji/skryptów/widżetów”, których używamy tylko ona i ja, a ona nie pozwoliła mi zainstalować tego na swoim OSX…
Polecam włączyć Gatekeepera, a jeśli chcesz zainstalować aplikację, która nie jest podpisana, po prostu kliknij prawym przyciskiem myszy pakiet/aplikację i kliknij Otwórz. Istnieje wówczas możliwość ominięcia Gatekeepera w tym przypadku. Sam to robię i wydaje mi się to bezpieczniejsze - mogę też instalować niepodpisane aplikacje, ale Gatekeeper pilnuje wszystkiego innego.
Dziękuję, nie wiedziałem tego