Ondrej Holzman Na počítače Mac útočí nový malware, ktorý bez vedomia používateľa zhotovuje odtlačky obrazovky a následne súbory nahráva na pochybné servery. Vírus sa schováva pod aplikáciou macs.app. Zatiaľ však nie je príliš rozšírený.
Nový typ ohrozenia pre užívateľov jablčných počítačov bol nájdený na Mace jedného z účastníkov Oslo Freedom Forum, čo je medzinárodná konferencia o ľudských právach, ktorú každoročne organizuje v Osle nadácia Human Rights Foundation.
Akonáhle si macs.app nainštalujete, beží aplikácia na pozadí av tichosti zhotovuje odtlačky obrazovky. Každý urobený obrázok je skladovaný v priečinku MacApp vo vašom domovskom adresári, odkiaľ sú súbory nahrávané na securitytable.org a docsforum.inf. Ani jedna doména nie je dostupná.
[do action=“tip“]Skontrolujte si, či sa vašom domovskom adresári nenachádza zložka MacApp (pozri obrázok).[/do]
Macs.app môže na vašom Macu fungovať kvôli tomu, že na rozdiel od ostatného malwaru má pri sebe priradené funkčné Apple Developer ID, čo znamená, že prejde cez ochranu Gatekeeper. Identifikačné číslo patrí istému Rajenderovi Kumarovi a Apple má možnosť jeho práva zmraziť, čo by zrejme znemožnilo aj funkčnosť vírusu. Môžeme teda očakávať skorý zásah kalifornskej spoločnosti.
Dobry vedieť. Ale prečo by som si to preboha inštaloval (je to .app alebo inštalačný balíček)?
F-secure je aktuálny investigating malware to better determine jeho origin, modes of installation, a how it runs.
Nezistil som, v akej forme sa to presne sťahuje, ale keď to máš v počítači, púšťa sa automaticky pri spustení počítača. Avšak ak je potrebné to inštalovať, to neviem.
Z logiky veci to užívateľ spustiť musí, len je otázkou, či je to „pribalené“ k nejakej aplikácii, či už legálnej alebo cracklé, alebo či príde email typu „Nude pictures of , run me now“ a používateľ to spustí.
Vzhľadom na to, že to vyzerá primitívne (dá sa to napísať v AppleScripte veľmi jednoducho) a vzhľadom na to, že to zapisuje do priečinka užívateľa, nemalo by to potrebovať ani heslo administrátora, ale len myslím z obrázku az informácií v článku, môže to byť aj inak :)
Keď sa to veľa po spustení, tak by som povedal, že k inštalácii musí dôjsť (či už deamonu či samotné aplikácie). Každopádne, ako píše DJManas, zapisuje to do zložky používateľa práve preto, aby nebolo potrebné heslo. Spis nechapem, prečo to zapisuje do „MacApp“ a nie do „.MacApp“ – tým by si toho nevšimol nikto, kto nemá zobrazené skryté súbory (takže 90 % ľudí).
V čom vidím väčší problém je, že niekto prepožičal vlastný Developer ID, aby to prešlo pred GateKeeper – tu musí Apple veľmi rýchlo reagovať a týchto jedincov navzdory bannúť. Možno by som to videl aj na nejakú funkciu „nahlásiť ako spam/vírus“ niekde schovávaný hlboko, aby Apple vždy, keď dostane treba viac ako 1 takúto notifikáciu o aplikácii začal hneď riešiť.
Priznám sa, že nemám svoje oficiálne developer ID, ale počítam, že stačí si zriadiť email, zaplatiť si členstvo, hoci ročné za 900,- a užívateľ je „live“ a môže prasiť (pokiaľ to nedáva priamo do AppStore), čo môže niekomu priniesť uspokojenie, ale presne neviem ako to funguje, prosím opravte ma niekto.
Na druhú stranu užívatelia môžu mať GateKeeper vypnutý, pretože inštalujú veci z Webu a priznám sa, že aj ja som ho vypol, pretože mi nenechal nainštalovať nejakú aplikáciu, ktorú bežne používam, tuším že to vtedy bol OnyX (čerstvo po inštalácii 10.8) a nezisťoval som si, či už sú oficiálni vývojári a môžem ho zapnúť…
Manželke som ho tiež vypol, pretože som vyvinul pár „appiek/scriptov/widgetov“, ktoré používa iba ona a ja a nechcelo ma to nechať nainštalovať na jej OSX…
Odporúčam zase Gatekeeper zapnúť av prípade, že chcete nainštalovať aplikáciu, ktorá nie je podpísaná tak stačí na balíček/app kliknúť pravým tlačidlom a dát Open. Tam je potom možnosť pre tento prípad Gatekeeper obísť. Sam to tak robím a príde mi to bezpečnejšie - môžu inštalovať aj nepodpísané aplikácie ale Gatekeeper poradí stráži všetko ostatné.
Ďakujem, toto som nevedel