Ondrej Holzman Els ordinadors Mac estan sent atacats per un nou programari maliciós que fa captures de pantalla sense el coneixement de l'usuari i després carrega fitxers a servidors dubtosos. El virus s'amaga sota l'aplicació macs.app. De moment, però, no està gaire estès.
Un nou tipus d'amenaça per als usuaris d'ordinadors d'Apple es va trobar al Mac d'un dels participants de l'Oslo Freedom Forum, una conferència internacional sobre drets humans organitzada anualment a Oslo per la Human Rights Foundation.
Un cop instal·leu macs.app, l'aplicació s'executa en segon pla i fa captures de pantalla en silenci. Cada imatge capturada s'emmagatzema en una carpeta Aplicació per a Mac al vostre directori d'inici des d'on es pengen els fitxers securitytable.org a docsforum.inf. Cap dels dos dominis està disponible.
[do action="tip"]Comproveu si hi ha una carpeta al vostre directori d'inici Aplicació per a Mac (veure imatge).[/do]
Macs.app pot funcionar al vostre Mac perquè, a diferència d'altres programes maliciosos, té assignat un ID de desenvolupador d'Apple que funciona, el que significa que supera la protecció de Gatekeeper. El número d'identificació pertany a un tal Rajender Kumar, i Apple té l'opció de congelar els seus drets, cosa que probablement també faria impossible el funcionament del virus. Així que podem esperar una intervenció primerenca de l'empresa californiana.
És bo saber-ho. Però per què l'instal·laria (és un .app o un paquet d'instal·lació)?
Actualment, F-secure està investigant el programari maliciós per determinar-ne millor l'origen, els modes d'instal·lació i com s'executa.
No he esbrinat de quina forma es descarrega exactament, però quan el teniu a l'ordinador, s'inicia automàticament quan engegueu l'ordinador. Tanmateix, no veig si cal instal·lar-lo.
Lògicament, l'usuari l'ha d'executar, l'única pregunta és si està "empaquetada" amb alguna aplicació, si és legal o crackejada, o si arriba un correu com "Nude pictures of , run me now" i l'usuari l'inicia.
Com que sembla primitiu (es pot escriure en AppleScript molt fàcilment) i com que escriu a la carpeta de l'usuari, ni tan sols hauria de necessitar una contrasenya d'administrador, però només estic a jutjar per la imatge i la informació de l'article, pot ser diferent :)
Si s'inicia després de l'inici, diria que ha d'acabar la instal·lació (fins i tot el dimoni o la pròpia aplicació). De totes maneres, tal com escriu DJManas, ho escriu a la carpeta de l'usuari precisament perquè no calgui cap contrasenya. No entenc per què ho escriu a "MacApp" i no a ".MacApp": d'aquesta manera ningú que no tingui fitxers ocults visibles (per tant, el 90% de la gent) s'adonaria.
El que veig com un problema més gran és que algú va utilitzar el seu propi identificador de desenvolupador per superar GateKeeper; aquí Apple ha de reaccionar molt ràpidament i prohibir aquestes persones per sempre. Potser ho podria veure en alguna funció "informar com a correu brossa/virus", amagada en algun lloc profund, de manera que Apple hauria de començar a tractar-ho immediatament cada vegada que rebi més d'una notificació sobre l'aplicació.
Confesso que no tinc el meu identificador oficial de desenvolupador, però crec que n'hi ha prou amb configurar un correu electrònic, pagar una subscripció, fins i tot per 900,- l'any, i l'usuari està "en directe" i pot jugar ( si no el posa directament a l'AppStore), la qual cosa pot aportar satisfacció, però no sé ben bé com funciona, algú em corregeixi si us plau.
D'altra banda, els usuaris poden tenir GateKeeper apagat perquè instal·len coses des de la Web, i admeto que jo també l'he desactivat, perquè no em deixava instal·lar una aplicació que utilitzo normalment, suposo que era OnyX. aleshores (acabat d'instal·lar 10.8) i no ho va detectar, em pregunto si ja són desenvolupadors oficials i puc activar-ho...
També el vaig desactivar per a la meva dona mentre desenvolupava un parell d'"aplicacions/scripts/widgets" que només fem servir ella i jo i no em va deixar instal·lar-lo al seu OSX...
Recomano activar Gatekeeper i si voleu instal·lar una aplicació que no estigui signada, feu clic amb el botó dret al paquet/aplicació i feu clic a Obre. Aleshores, hi ha la possibilitat de passar per alt el Gatekeeper per a aquest cas. Ho faig jo mateix i em sembla més segur: també puc instal·lar aplicacions sense signar, però Gatekeeper vigila tota la resta.
Gràcies, això no ho sabia