Ондрей Хольцман Компьютеры Mac подвергаются атакам нового вредоносного ПО, которое делает снимки экрана без ведома пользователя, а затем загружает файлы на сомнительные серверы. Вирус прячется под приложением macs.app. Однако на данный момент оно не получило большого распространения.
Новый тип угрозы для пользователей компьютеров Apple был обнаружен на Mac одного из участников Oslo Freedom Forum — международной конференции по правам человека, ежегодно организуемой в Осло Фондом по правам человека.
После установки macs.app приложение работает в фоновом режиме и автоматически делает снимки экрана. Каждое захваченное изображение сохраняется в папке Mac-приложение в вашем домашнем каталоге, откуда загружаются файлы securitytable.org a docsforum.inf. Ни один домен не доступен.
[do action="tip"]Проверьте свой домашний каталог на наличие папки Mac-приложение (см. картинку).[/do]
Macs.app может работать на вашем Mac, поскольку, в отличие от других вредоносных программ, ему присвоен рабочий Apple Developer ID, что означает, что оно не защищено защитой Gatekeeper. Идентификационный номер принадлежит некоему Раджендеру Кумару, и у Apple есть возможность заморозить его права, что, вероятно, также сделает невозможным функционирование вируса. Так что мы можем ожидать раннего вмешательства со стороны калифорнийской компании.
Приятно это знать. Но с какой стати мне его устанавливать (это .app или установочный пакет)?
F-secure в настоящее время исследует вредоносное ПО, чтобы лучше определить его происхождение, способы установки и способ работы.
Я не выяснил, в каком именно виде он скачивается, но если он у вас на компьютере, то он запускается автоматически при запуске компьютера. Однако я не понимаю, нужно ли его устанавливать.
По логике, пользователь должен его запустить, вопрос только в том, "в комплекте" ли оно с каким-то приложением, легальным или взломанным, или приходит письмо типа "Обнаженные картинки, запусти меня сейчас" и пользователь его запускает.
Поскольку он выглядит примитивно (его очень легко написать на AppleScript) и поскольку он пишет в папку пользователя, то ему даже не нужен пароль администратора, но я просто сужу по изображению и информации в статье, так и есть. может быть по-другому :)
Если он запускается после запуска, я бы сказал, что он должен завершить установку (даже демона или самого приложения). Во всяком случае, как пишет DJManas, он записывает его в папку пользователя именно для того, чтобы не требовался пароль. Я не понимаю, почему он пишет это в «MacApp», а не в «.MacApp» - чтобы никто, у кого нет видимых скрытых файлов (то есть 90% людей), не заметил бы этого.
Более серьезной проблемой я считаю то, что кто-то использовал свой собственный идентификатор разработчика, чтобы обойти GateKeeper — здесь Apple приходится очень быстро реагировать и навсегда забанить этих людей. Возможно, я мог бы увидеть это в какой-нибудь функции «сообщить о спаме/вирусе», спрятанной где-то глубоко, чтобы Apple немедленно начала бороться с этим, когда получит более одного такого уведомления о приложении.
Признаюсь, у меня нет официального идентификатора разработчика, но я думаю, что достаточно настроить почту, оплатить членство, пусть даже за 900,- в год, и пользователь "живой" и может играть( если он не выложит его напрямую в AppStore), что может принести удовлетворение, но я не знаю точно, как это работает, кто-нибудь меня поправьте.
С другой стороны, пользователи могут отключить GateKeeper, потому что они устанавливают что-то из Интернета, и я признаю, что я тоже отключил его, потому что он не позволял мне установить приложение, которое я обычно использую, я думаю, это был OnyX. тогда (только что установленная версия 10.8) и она не обнаружила, интересно, являются ли они уже официальными разработчиками, и я могу это включить…
Я также отключил его для своей жены, поскольку разработал пару «приложений/скриптов/виджетов», которые используем только она и я, и она не позволила мне установить их на ее OSX…
Я рекомендую включить Gatekeeper, и если вы хотите установить неподписанное приложение, просто щелкните пакет/приложение правой кнопкой мыши и выберите «Открыть». В этом случае существует возможность обойти гейткипер. Я делаю это сам и мне кажется это безопаснее - я тоже могу устанавливать неподписанные приложения, но за всем остальным следит Gatekeeper.
Спасибо, я этого не знал