Ондрей Хольцман Комп’ютери Mac атакують нові шкідливі програми, які роблять скріншоти без відома користувача, а потім завантажують файли на сумнівні сервери. Вірус ховається під програмою macs.app. Однак поки що він не дуже поширений.
Новий вид загрози для користувачів комп'ютерів Apple виявили на Mac одного з учасників Oslo Freedom Forum, міжнародної конференції з прав людини, яка щорічно організовується в Осло Human Rights Foundation.
Після встановлення macs.app програма працює у фоновому режимі та робить скріншоти без звуку. Кожне зроблене зображення зберігається в папці Програма Mac у вашому домашньому каталозі, звідки завантажуються файли securitytable.org a docsforum.inf. Жоден домен недоступний.
[do action=”tip”]Перевірте папку у домашньому каталозі Програма Mac (див. малюнок).[/do]
Macs.app може працювати на вашому Mac, оскільки, на відміну від інших зловмисних програм, йому призначено робочий ідентифікатор розробника Apple, що означає, що він проходить повз захист Gatekeeper. Ідентифікаційний номер належить якомусь Раджендеру Кумару, і Apple має можливість заморозити його права, що, ймовірно, також унеможливить роботу вірусу. Тож можна очікувати раннього втручання каліфорнійської компанії.
Це добре знати. Але навіщо мені його встановлювати (це програма .app чи інсталяційний пакет)?
Наразі F-secure досліджує зловмисне програмне забезпечення, щоб краще визначити його походження, режими встановлення та спосіб роботи.
Я не з’ясував, у якому саме вигляді він завантажується, але коли він є у вас на комп’ютері, він запускається автоматично при запуску комп’ютера. Однак я не бачу, чи потрібно його встановлювати.
За логікою, користувач має запустити його, питання лише в тому, чи «запаковано» воно з якоюсь програмою, легальною чи зламаною, чи приходить електронний лист на кшталт «Фотографії оголеного , запусти мене зараз» і користувач запускає його.
Оскільки це виглядає примітивно (його можна дуже легко написати на AppleScript) і оскільки воно записує в папку користувача, йому навіть не потрібен пароль адміністратора, але я просто суджу із зображення та інформації в статті, це може бути інакше :)
Якщо він запускається після запуску, я б сказав, що він повинен завершити встановлення (навіть демона чи самої програми). У всякому разі, як пише DJManas, він записує його в папку користувача саме для того, щоб не було необхідності вводити пароль. Я не розумію, чому це пишеться в "MacApp", а не в ".MacApp" - таким чином ніхто, у кого не видно прихованих файлів (отже, 90% людей), не помітить.
Більшою проблемою я вважаю те, що хтось використав власний ідентифікатор розробника, щоб пройти повз GateKeeper – тут Apple має дуже швидко відреагувати та назавжди заборонити цих осіб. Можливо, я міг би побачити це в якійсь функції «повідомити про спам/вірус», прихованій десь глибоко, тому Apple повинна почати розглядати це негайно, коли вона отримує більше ніж 1 таке сповіщення про програму.
Зізнаюся, я не маю свого офіційного ідентифікатора розробника, але вважаю, що достатньо налаштувати електронну пошту, заплатити за членство, навіть 900,- на рік, і користувач «живий» і може грати ( якщо він не розмістить його безпосередньо в AppStore), що може принести задоволення, але я не знаю точно, як це працює, хтось, будь ласка, виправте мене.
З іншого боку, користувачі можуть вимкнути GateKeeper, тому що вони встановлюють речі з Інтернету, і я визнаю, що я теж його вимкнув, оскільки він не дозволяв мені встановити програму, якою я зазвичай користуюся, я думаю, це був OnyX тоді (щойно встановлена 10.8), і він не виявив, мені цікаво, чи вони вже офіційні розробники, і я можу це ввімкнути…
Я також вимкнув його для своєї дружини, коли розробив пару «додатків/скриптів/віджетів», якими користуємось лише вона та я, і вона не дозволяла мені встановити це на її OSX…
Я рекомендую ввімкнути Gatekeeper, і якщо ви хочете встановити непідписану програму, просто клацніть правою кнопкою миші на пакеті/програмі та натисніть Відкрити. У цьому випадку існує можливість обійти Gatekeeper. Я роблю це сам, і мені це здається безпечнішим - я також можу встановлювати непідписані програми, але Gatekeeper стежить за всім іншим.
Дякую, я цього не знав