新しいMacマルウェアは、Apple Developer IDによって署名されているため、ゲートキーパーを通り過ぎます
攻撃者がデータを盗み、侵害されたマシンに不正なアプリをインストールすることを可能にする新しいMacマルウェアが実際に発見されました。 ただし、このマルウェアが他の最近のMacマルウェアと異なる点は、そよ風が正しく吹くということです。 過去のゲートキーパー…そしてその背後にいる人々は彼らのマルウェアの寿命を狙っていたのかもしれません 被害者。
既知のセキュリティ研究者でプライバシー活動家のジェイコブ・アップルバウムがマルウェアを発見しました。これはOSX /KitM.Aと呼ばれています。 フィンランドのウイルス対策会社F-Secureによる—これ以前のOslo FreedomForumの人権活動家のラップトップ 週。
KitM.Aは、(より広範囲の被害者ではなく)特定の個人を標的とするフィッシング攻撃であるスピアフィッシング攻撃の結果としてマシンに侵入しました。 マルウェアはMacで起こっていることのスクリーンショットを撮り、オランダのサーバーに送信します。 また、他のマルウェアをダウンロードしてインストールし、攻撃者に代わってコマンドを実行し、ネットワークアクティビティモニターを操作して、その存在が検出されないようにすることもできます。
この特定のマルウェアの非常に興味深い点は、有効なApple DeveloperIDによって署名されていることです。 これは、この種のプログラムを阻止することになっているOS X MountainLionのマルウェア対策ファイアウォールであるGatekeeperを突破したことを意味します。 ただし、これは、Appleがアプリの証明書を取り消すだけで、ゲートキーパーがオンになっているすべてのコンピューターでアプリを即座に強制終了できることも意味します。 そしてうまくいけば、この特に陰湿な形式のマルウェアの背後にいる攻撃者は、自分のApple Developer IDという署名を残しているため、追跡して起訴できることを意味します。
Applebaumは、被害者の生命への脅威を確認したら、攻撃の詳細を公開する可能性があると述べました。 結局のところ、誰かが彼を狙っていて、最近アンゴラで何が起こっているかを考えると、それは賢明な予防策です。
ソース: Macworld
画像: MyFWCMedia