Kumar in the Mac также известен узкому кругу специалистов под названием HackBack. Разновидность этого шпиона – бэкдор. Он умеет делать скриншоты и загружать их на удалённый сервер. На заражённом компьютере захватчик может выполнять также определённые команды, так как бэкдор может открывать доступ к shell.
Изначально такое вот вредоносное программное обеспечение было обнаружено на лэптопе достаточно известного ангольского активиста, который прибыл на конференцию по защите прав человека Freedom Forum, проходящую в норвежской столице.
Очень интересно то, что шпион подписан Apple Developer ID, специальным сертификатом от Apple на имя Раджиндера Кумара. Напомним, что приложения, подписанные таким образом, пропускаются встроенной системой безопасности OS X Gatekeeper, проверяющей происхождение файлов для определения их возможной опасности.
Самые первые образцы шпиона были обнаружены на прошлой неделе. Удалось выяснить, что они были соединены с румынскими и голландскими серверами. Информации пока что мало, но в прошлую среду специалисты смогли получить от одного из немецких исследователей гораздо больше образцов KitM, которые использовались для направленных атак и распространялись через фишинговые письма.
Абсолютно все обнаруженные образцы подписаны одним и тем же сертификатом на имя Раджиндера Кумара. Купертиновцы отозвали его сразу, как только шпион был обнаружен, но тем, кто успел уже заразиться, это никак не поможет. Дело в том, что система Gatekeeper проверяет файл только один раз перед первым запуском, без дополнительных повторных проверок. Именно поэтому файлы и дальше будут функционировать, если их один раз уже запустили.
Ещё одна проблема в том, что далеко не все шпионы обнаружены, а потому «яблочный» бренд не может применить для защиты другую свою функцию XProtect.
Комментарии (0)