Нове шпигунське по для os x з сертифікатом від apple

Kumar in the Mac також відомий вузькому колу фахівців під назвою HackBack. Різновид цього шпигуна - бекдор. Він вміє робити скріншоти і завантажувати їх на віддалений сервер. На зараженому комп`ютері загарбник може виконувати також певні команди, так як бекдор може відкривати доступ до shell.

Спочатку таке ось шкідливе програмне забезпечення було виявлено на лептопі досить відомого анголського активіста, який прибув на конференцію із захисту прав людини Freedom Forum, що проходить в норвезькій столиці.

Дуже цікаво те, що шпигун підписаний Apple Developer ID, спеціальним сертифікатом від Apple на ім`я Раджіндера Кумара. Нагадаємо, що додатки, підписані таким чином, пропускаються вбудованою системою безпеки OS X Gatekeeper, що перевіряє походження файлів для визначення їх можливої небезпеки.

Відео: Steve Jobs introduces OS X Beta & new iBooks - Apple Paris Expo (2000)

Найперші зразки шпигуна були виявлені минулого тижня. Вдалося з`ясувати, що вони були з`єднані з румунськими та голландськими серверами. Інформації поки що мало, але минулої середи фахівці змогли отримати від одного з німецьких дослідників набагато більше зразків KitM, які використовувалися для спрямованих атак і поширювалися через фішингові листи.

Абсолютно всі виявлені зразки підписані одним і тим же сертифікатом на ім`я Раджіндера Кумара. Купертіновци відкликали його відразу, як тільки шпигун був виявлений, але тим, хто встиг вже заразитися, це ніяк не допоможе. Справа в тому, що система Gatekeeper перевіряє файл тільки один раз перед першим запуском, без додаткових повторних перевірок. Саме тому файли і далі функціонуватимуть, якщо їх один раз вже запустили.

Ще одна проблема в тому, що далеко не всі шпигуни виявлені, а тому «яблучний» бренд не може застосувати для захисту іншу свою функцію XProtect.