sexta-feira, 24 de maio de 2013


Pesquisadores de segurança identificaram várias amostras do "KitM" spyware descoberto recentemente para Mac OS X, incluindo um que remonta a Dezembro de 2012 e direcionada aos usuários de língua alemã.

KitM (Kumar no Mac), também conhecido como HackBack, é um programa do tipo backdoor que leva capturas de tela não autorizadas e os transfere para um servidor remoto C & C (-comando e controle). Também abre uma shell reverso que permite que atacantes para executar comandos nos computadores infectados.


O malware foi descoberto inicialmente na semana passada sobre o laptop Mac de um ativista angolano no Oslo Freedom Forum, uma conferência de direitos humanos na Noruega, pelo pesquisador de segurança e privacidade ativista Jacob Appelbaum.

O aspecto mais interessante de KitM é que foi assinado com a validade de desenvolvedores da Apple ID, um certificado de assinatura de código, emitido pela Apple para alguém chamado "Rajinder Kumar." Aplicativos assinados com um ID Apple desenvolvedor válido ignorar o recurso de segurança Gatekeeper em Mac OS X Mountain Lion, que verifica a origem dos arquivos para determinar se eles representam qualquer risco para o sistema.


As duas primeiras amostras KitM encontrado na semana passada ligado de volta para servidores C & C hospedados na Holanda e Romênia. Pesquisadores de segurança do fornecedor Norman Shark ligaram os nomes de domínio desses servidores para a infra-estrutura ataque de uma grande campanha de ciberespionagem de origem indiana apelidado de "Operação Ressaca".

Na quarta-feira, os pesquisadores da F-Secure obtiveram mais variantes KitM de um investigador com sede na Alemanha. Essas amostras foram utilizadas em ataques direcionados entre dezembro e fevereiro e foram distribuídos via e-mails spear-phishing contábeis. Através arquivos zip, os pesquisadores da F-Secure disseram em um post do blog.

Alguns dos anexos maliciosos foram chamados Christmas_Card.app.zip, Content_for_Article.app.zip, Interview_Venue_and_Questions.zip, Content_of_article_for_ [nome removido]. App.zip e Lebenslauf_fur_Praktitkum.zip.

"Embora os payloads do spear phishing não são particularmente 'sofisticados', o uso da campanha de localização alemão e o nome do alvo (retirado no exemplo acima) não indica que os atacantes têm feito algum trabalho de casa", os pesquisadores da F-Secure disseram quinta-feira em um post diferente no blog.

Os instaladores KitM contidos nos arquivos Zip. São Mach-O executáveis, mas tem ícones correspondentes para arquivos de imagem e vídeo, documentos do Microsoft Word e documentos do Adobe PDF. Este é um truque freqüentemente visto com o Windows de malware distribuído via e-mail.

As variantes KitM recém-descobertos são todos assinados com o mesmo certificado Rajinder Kumar. A Apple revogou essa ID de desenvolvedor na semana passada, após as primeiras amostras terem sido descobertas, mas isso não vai ajudar as vítimas imediatamente existentes, de acordo com Bogdan Botezatu, analista sênior e-ameaça de antivírus da Bitdefender.

"Gatekeeper usa o sistema de quarentena de arquivos, que detém o arquivo em quarentena até que seja executada em primeiro lugar", Botezatu disse quinta-feira por e-mail. "Se passar Gatekeeper na primeira execução, ele vai continuar a correr e nunca ser consultado por Gatekeeper novamente. Assim, amostras de malware que foram correu uma vez, enquanto o ID desenvolvedor usado para assiná-los era válido continuará a funcionar nas máquinas."

Apple poderia usar outro recurso de proteção contra malware chamado XProtect barrar os arquivos binários KitM conhecidos. No entanto, outras versões que ainda não foram descobertos podem existir.

A fim de impedir a execução de qualquer arquivo de malware assinado digitalmente em seus computadores, os usuários de Mac podem modificar as configurações de segurança Gatekeeper para permitir que apenas os aplicativos baixados da Mac App Store para ser instalado, pesquisadores de segurança da F-Secure, disse.

No entanto, esta definição seria inconveniente para os usuários em ambientes corporativos, que precisam executar o software personalizado, desenvolvido in-house, Botezatu disse. Tais aplicativos personalizados são destinados apenas para uso interno e não são publicados na Mac App Store, para um cenário mais restritivo Gatekeeper provavelmente complicar seu processo de implantação, disse ele.

Fonte: Info World


0 comentários:

Postar um comentário

Subscribe to RSS Feed Follow me on Twitter!