Ondrej Holzmann I computer Mac vengono attaccati da un nuovo malware che acquisisce screenshot all'insaputa dell'utente e quindi carica i file su server dubbi. Il virus si nasconde sotto l'applicazione macs.app. Per ora, però, non è molto diffuso.
Un nuovo tipo di minaccia per gli utenti di computer Apple è stata rilevata sul Mac di uno dei partecipanti all'Oslo Freedom Forum, una conferenza internazionale sui diritti umani organizzata ogni anno a Oslo dalla Human Rights Foundation.
Una volta installato macs.app, l'app viene eseguita in background e acquisisce screenshot in modo silenzioso. Ogni immagine catturata viene archiviata in una cartella Applicazione per Mac nella directory home da cui vengono caricati i file securitytable.org a docsforum.inf. Nessuno dei due domini è disponibile.
[do action="tip"]Cerca una cartella nella tua directory home Applicazione per Mac (vedi foto).[/do]
Macs.app può funzionare sul tuo Mac perché, a differenza di altri malware, gli è assegnato un ID sviluppatore Apple funzionante, il che significa che supera la protezione Gatekeeper. Il numero di identificazione appartiene a un certo Rajender Kumar e Apple ha la possibilità di congelare i suoi diritti, il che probabilmente renderebbe anche impossibile il funzionamento del virus. Possiamo quindi aspettarci un intervento tempestivo da parte dell'azienda californiana.
È bello saperlo Ma perché mai dovrei installarlo (è un .app o un pacchetto di installazione)?
F-secure sta attualmente esaminando il malware per determinarne meglio l'origine, le modalità di installazione e il modo in cui funziona.
Non ho scoperto in che forma viene scaricato esattamente, ma se lo hai sul computer, si avvia automaticamente all'avvio del computer. Tuttavia non vedo se è necessario installarlo.
Logicamente è l'utente a doverlo eseguire, l'unica domanda è se è "confezionato" con qualche applicazione, legale o crackata, oppure se arriva una email del tipo "Foto di nudo di , eseguimi adesso" e l'utente lo avvia.
Dato che sembra primitivo (può essere scritto molto facilmente in AppleScript) e poiché scrive nella cartella dell'utente, non dovrebbe nemmeno aver bisogno di una password di amministratore, ma a giudicare dall'immagine e dalle informazioni nell'articolo, potrebbe essere diverso :)
Se si avvia dopo l'avvio, direi che deve completare l'installazione (anche il demone o l'applicazione stessa). Ad ogni modo, come scrive DJManas, lo scrive nella cartella dell'utente proprio in modo che non sia necessaria la password. Non capisco perché lo scriva in "MacApp" e non in ".MacApp" - in questo modo nessuno che non ha i file nascosti visibili (quindi il 90% delle persone) se ne accorgerebbe.
Quello che considero un problema più grande è che qualcuno abbia utilizzato il proprio ID sviluppatore per oltrepassare GateKeeper: qui Apple deve reagire molto rapidamente e bannare queste persone per sempre. Forse potrei vederlo su qualche funzione "segnala come spam/virus", nascosto da qualche parte nel profondo, in modo che Apple inizi a gestirlo immediatamente ogni volta che riceve più di una notifica di questo tipo sull'applicazione.
Confesso che non ho il mio ID sviluppatore ufficiale, ma penso che sia sufficiente impostare una email, pagare un abbonamento, anche di 900,- all'anno, e l'utente è "live" e può giocare ( se non lo mette direttamente nell'AppStore), il che può dare soddisfazioni, ma non so esattamente come funziona, qualcuno mi corregga.
D'altra parte, gli utenti potrebbero avere GateKeeper disattivato perché installano cose dal Web, e ammetto di averlo disattivato anch'io, perché non mi permetteva di installare un'app che utilizzo normalmente, immagino fosse OnyX allora (appena installato 10.8) e non ha rilevato, mi chiedo se sono già sviluppatori ufficiali e posso accenderlo ...
L'ho disabilitato anche per mia moglie poiché ho sviluppato un paio di "app/script/widget" che usiamo solo io e lei e non mi ha permesso di installarlo sul suo OSX...
Ti consiglio di attivare Gatekeeper e, se desideri installare un'applicazione non firmata, fai semplicemente clic con il pulsante destro del mouse sul pacchetto/app e fai clic su Apri. Esiste quindi la possibilità di bypassare il Gatekeeper per questo caso. Lo faccio da solo e mi sembra più sicuro: posso anche installare applicazioni non firmate, ma Gatekeeper tiene d'occhio tutto il resto.
Grazie, non lo sapevo