视频: --Í--Æ—Å--Μ--Ω—Ñ --±--Æ--∑--º--Æ—Û--Μ (十一月 2024)
研究人员发现了旨在监视安哥拉激进分子Mac上用户的恶意软件。
独立安全研究人员雅各布·阿佩尔鲍姆(Jacob Appelbaum)在维权人士的Mac上发现了这个新的,后人未知的后门。 此后不久,他在另一位激进分子的计算机上发现了第二种变体。
BitDefender的Bogdan Botezatu告诉 SecurityWatch: “这似乎是一种具有全新行为的全新恶意软件。”
Botezatu说,至少在第一次攻击的情况下,维权人士是鱼叉式网络钓鱼攻击的受害者,在这种攻击中,他被诱使在登录Mac时下载并安装了恶意软件。
恶意软件会做什么
F-Secure的Sean Sullivan在公司博客中写道,后门应用程序似乎是在获取用户计算机的屏幕截图,并将其存储在用户主目录中的文件夹MacApp中。 Sullivan告诉 SecurityWatch ,F-Secure研究人员怀疑它是商业开发的。
安装后,该应用程序会将自身添加到当前用户的登录项目列表中,该列表是当用户登录Mac时自动运行的应用程序列表。 该恶意软件将屏幕截图上传到了两个命令和控制服务器-一个在荷兰,另一个在法国。
Botezatu说,命令和控制服务器的主要目的是收集所有屏幕截图,但它也存储主机名和有关受感染计算机的其他信息。 BitDefender研究人员发现,Mac后门的第二个变体还与罗马尼亚的一台服务器通信,以下载其他有效载荷和组件。
Botezatu说,如果其他服务器被暂停,则该服务器可能会成为犯罪分子的后备。
Botezatu说,尽管恶意软件本身“不复杂”,但它仍然能够在该计算机上收集有关用户活动的信息,而不会产生太大的噪音。
Apple ID被盗了吗?
该恶意软件使用有效的Apple Developer ID进行了签名,这意味着Mac OS X中的Gatekeeper功能不会检测到该软件。Apple推出了Gatekeeper,该软件可阻止在Mac OS X中执行从Internet下载的未签名应用程序Mountain Lion和Lion去年的v10.7.5。 BitDefender认为这是第一款使用合法Apple ID数字签名的Mac恶意软件。
目前尚不知道密钥是从合法开发人员那里窃取的,还是恶意软件开发人员欺骗了苹果公司生成的ID。 Botezatu说,考虑到该名称与最近去世的著名的宝莱坞明星相似,因此开发人员很可能在申请过程中创建了伪造的身份。
用户可以在其主目录中查看是否有MacApp文件夹来确定是否已被感染。
Appelbaum说,尽管该恶意软件很容易被检测到,但它还是“致命的”恶意软件,但仍然“致命”。 Appelbaum在推特上写道:“问题是作者足够好,足以使某人陷入致命的危险。”
