Mac-вредонос прикрывается сертификатом Apple Developer ID


Mac OS XСпециалистами по информационной безопасности были обнаружены новые вредоносные коды из семейства ранее выявленного шпионского софта KitM для операционной системы Mac OS X. Один из этих кодов, судя по всему, был написан еще в декабре 2012 года и предназначался только для пользователей в Германии.

KitM (Kumar in the Mac, или HackBlack) - разновидность бэкдора, способного делать снимки экрана и передавать их на удаленный хакерский сервер. Еще одна способность данного бэкдора - он может открывать Shell-доступ к зараженному компьютеру, позволяя выполнять на нем разные команды.

Обнаруженные последние образцы KitM были подписаны действительным сертификатом Apple Developer ID, выпущенным компанией Apple для некоего разработчика Rajinder Kumar. Также вредонос подписан действующим сертификатом для обхода инструмента безопасности Gatekeeper, присутствующего в Mac OS X Mountain Lion.

Образцы, выявленные ранее компанией F-Secure, подключались к C&C-серверам в Нидерландах и Румынии. Секьюрити-вендор Norman Shark сообщил, что коды KitM применяются для кибершпионской компании Operation Hangover. Анализ, проведенный компанией F-Secure, показал, что KitM-варианты активно применялись для атак в период с декабря по февраль.

Все выявленные KitM-инсталляторы содержали Zip-архивы и представляли собой исполнимые файлы Mach-O, а также были замаскированы под документы Adobe PDF или Microsoft Word. Данные документы предназначались для распространения вредоносов через email для пользователей, работающих с Windows.

Последние образцы кодов также подписаны сертификатом Rajinder Kumar, который Apple еще на прошлой неделе аннулировала. Однако, инструмент Gatekeeper проверяет сертификат лишь один раз - при первом запуске. Поэтому тем, у кого вредонос уже попал на компьютер, инструмент не даст никакого результата. И даже если потом Apple аннулирует сертификат, то для Gatekeeper это будет уже неважно.


Обновлено (24.05.2013 16:39)