Троян KitM для Мас использует сертификат Apple Developer ID

image

Теги: Mac, троян, бэкдор, сертификат

Код является бэкдором, позволяющим выполнять на инфицированной системе различные сторонние команды.

Эксперты антивирусной компании F-Secure сообщили об обнаружении новых видов вредоносного кода KitM, преднаначенного для операционной системы Mac OS X, причем некоторые образцы вредоносной пограммы, как оказалось, были написаны еще в декабре прошлого года.

По словам исследователей, KitM (Kumar in the Mac) также известнен как HackBlack и представляет собой разновидность бэкдора, который делает снимки экрана и передает их на удаленный хакерский сервер. Он также открывает Shell-доступ к зараженному компьютеру, позволяя выполнять на нем разные команды.

Последние обнаруженные образцы вредоносного кода оказались подписанными действительным сертификатом Apple Developer ID, выпущенным компанией Apple для некоего разработчика Rajinder Kumar, а также действующим сертификатом для обхода инструмента безопасности Gatekeeper, присутствующего в Mac OS X Mountain Lion.

Первые два образца вредоносов, выявленные компанией F-Secure, подключались к C&C-серверам в Нидерландах и Румынии. В свою очередь секьюрити-вендор Norman Shark сообщает, что коды KitM применяются для кибершпионской компании Operation Hangover. F-Secure сообщает, что по данным ее анализа, KitM-варианты активно применялись для атак в период с декабря прошлого года по февраль этого года.

Примечательно, что скомпрометиованный сертификат Apple удалила еще на прошлой неделе, однако аннулирование сертификата не поможет тем пользователям, на систему которых вредоносная программа установилась ранее, поскольку инструмент Gatekeeper проверяет сертификат лишь однажды - при первом запуске.

или введите имя

CAPTCHA