Ondrej Holzman Computerele Mac sunt atacate de un nou malware care face capturi de ecran fără știrea utilizatorului și apoi încarcă fișiere pe servere dubioase. Virusul se ascunde sub aplicație macs.app. Deocamdată, însă, nu este foarte răspândită.
Un nou tip de amenințare la adresa utilizatorilor de computere Apple a fost găsit pe Mac-ul unuia dintre participanții la Oslo Freedom Forum, o conferință internațională despre drepturile omului organizată anual la Oslo de Fundația pentru Drepturile Omului.
Odată ce instalați macs.app, aplicația rulează în fundal și face capturi de ecran în tăcere. Fiecare imagine capturată este stocată într-un folder Aplicația Mac în directorul dvs. de acasă de unde sunt încărcate fișierele securitytable.org a docsforum.inf. Niciun domeniu nu este disponibil.
[do action="tip"]Verificați directorul dvs. principal pentru un folder Aplicația Mac (vezi poza).[/do]
Macs.app poate funcționa pe Mac-ul dvs. deoarece, spre deosebire de alte programe malware, îi este atribuit un ID de dezvoltator Apple funcțional, ceea ce înseamnă că trece de protecția Gatekeeper. Numărul de identificare îi aparține unui anume Rajender Kumar, iar Apple are opțiunea de a-i îngheța drepturile, ceea ce probabil ar face și virusul imposibil de funcționat. Așa că ne putem aștepta la o intervenție timpurie din partea companiei californiane.
Este bine de știut. Dar de ce naiba l-aș instala (este un .app sau un pachet de instalare)?
F-secure investighează în prezent malware-ul pentru a-i determina mai bine originea, modurile de instalare și modul în care rulează.
Nu am aflat sub ce formă este descărcat exact, dar când îl aveți pe computer, pornește automat când porniți computerul. Totuși, nu văd dacă trebuie instalat.
În mod logic, utilizatorul trebuie să îl ruleze, singura întrebare este dacă este „împachetat” cu vreo aplicație, dacă este legală sau cracked, sau dacă sosește un e-mail de genul „Nude pictures of , run me now” și utilizatorul îl pornește.
Din moment ce pare primitiv (se poate scrie in AppleScript foarte usor) si din moment ce scrie in folderul utilizatorului, nici nu ar trebui sa aiba nevoie de parola de admin, ci doar judec dupa imaginea si informatiile din articol, poate fi diferit :)
Dacă pornește după pornire, atunci aș spune că trebuie să termine instalarea (chiar și demonul sau aplicația în sine). Oricum, așa cum scrie DJManas, îl scrie în folderul utilizatorului exact, astfel încât să nu fie nevoie de o parolă. Nu înțeleg de ce scrie în „MacApp” și nu „.MacApp” – așa nu ar observa nimeni care nu are fișiere ascunse vizibile (deci 90% dintre oameni).
Ceea ce văd ca fiind o problemă mai mare este că cineva și-a folosit propriul ID de dezvoltator pentru a trece de GateKeeper - aici Apple trebuie să reacționeze foarte repede și să interzică acești indivizi pentru totdeauna. Poate l-aș putea vedea pe vreo funcție de „raportare ca spam/virus”, ascunsă undeva adânc, astfel încât Apple să înceapă să se ocupe imediat de ea ori de câte ori primește mai mult de 1 astfel de notificare despre aplicație.
Mărturisesc că nu am ID-ul meu oficial de dezvoltator, dar cred că este suficient să înființezi un e-mail, să plătești un abonament, chiar și cu 900,- pe an, iar utilizatorul este „live” și poate juca ( daca nu il pune direct in AppStore), ceea ce poate aduce satisfactie, dar nu stiu exact cum functioneaza, cineva va rog sa ma corecteze.
Pe de altă parte, utilizatorii pot avea GateKeeper dezactivat pentru că instalează lucruri de pe Web și recunosc că l-am dezactivat și eu, pentru că nu mă lăsa să instalez o aplicație pe care o folosesc în mod normal, cred că era OnyX pe atunci (proaspăt instalat 10.8) și nu a detectat, mă întreb dacă sunt deja dezvoltatori oficiali și pot să-l pornesc...
L-am dezactivat și pentru soția mea, deoarece am dezvoltat câteva „aplicații/scripturi/widgeturi” pe care doar ea și eu le folosim și nu m-a lăsat să le instalez pe OSX-ul ei...
Vă recomand să activați Gatekeeper și dacă doriți să instalați o aplicație care nu este semnată, faceți clic dreapta pe pachet/aplicație și faceți clic pe Deschidere. Există apoi posibilitatea de a ocoli Gatekeeper-ul pentru acest caz. O fac singur și mi se pare mai sigur - pot instala și aplicații nesemnate, dar Gatekeeper ține cu ochii de orice altceva.
Mulțumesc, nu știam asta