Ondrej Holzman Mac-computers worden aangevallen door nieuwe malware die schermafbeeldingen maakt zonder medeweten van de gebruiker en vervolgens bestanden uploadt naar dubieuze servers. Het virus verbergt zich onder de applicatie macs.app. Maar voorlopig is het nog niet zo wijdverspreid.
Een nieuw soort bedreiging voor Apple-computergebruikers werd gevonden op de Mac van een van de deelnemers aan het Oslo Freedom Forum, een internationale conferentie over mensenrechten die jaarlijks in Oslo wordt georganiseerd door de Human Rights Foundation.
Nadat u macs.app hebt geïnstalleerd, wordt de app op de achtergrond uitgevoerd en worden er in stilte schermafbeeldingen gemaakt. Elk vastgelegd beeld wordt opgeslagen in een map Mac-app in uw thuismap waar de bestanden naartoe worden geüpload securitytable.org a docsforum.inf. Geen van beide domeinen is beschikbaar.
[do action=”tip”]Controleer of er een map in uw thuismap aanwezig is Mac-app (zie foto).[/do]
Macs.app kan op uw Mac werken omdat er, in tegenstelling tot andere malware, een werkende Apple Developer ID aan is toegewezen, wat betekent dat het voorbij de Gatekeeper-bescherming komt. Het identificatienummer behoort toe aan een zekere Rajender Kumar, en Apple heeft de mogelijkheid zijn rechten te bevriezen, waardoor het virus waarschijnlijk ook niet meer kan functioneren. We kunnen dus een vroege interventie van het Californische bedrijf verwachten.
Het is goed om te weten. Maar waarom zou ik het in vredesnaam installeren (is het een .app of een installatiepakket)?
F-secure onderzoekt momenteel de malware om de oorsprong, de installatiewijze en de werking ervan beter te kunnen bepalen.
In welke vorm het precies wordt gedownload, weet ik niet, maar als je het op je computer hebt staan, start het automatisch als je je computer opstart. Ik zie echter niet of deze geïnstalleerd moet worden.
Logischerwijs moet de gebruiker het uitvoeren, de enige vraag is of het "verpakt" is met een of andere applicatie, legaal of gekraakt, of dat een e-mail zoals "Naaktfoto's van , voer me nu uit" binnenkomt en de gebruiker het start.
Omdat het er primitief uitziet (het kan heel gemakkelijk in AppleScript worden geschreven) en omdat het naar de map van de gebruiker schrijft, zou het niet eens een beheerderswachtwoord nodig moeten hebben, maar ik oordeel alleen maar op basis van de afbeelding en de informatie in het artikel. kan anders zijn :)
Als het na het opstarten start, zou ik zeggen dat het de installatie moet voltooien (zelfs de daemon of de applicatie zelf). Hoe dan ook, zoals DJManas schrijft, schrijft het het precies naar de map van de gebruiker, zodat er geen wachtwoord nodig is. Ik begrijp niet waarom het in "MacApp" schrijft en niet in ".MacApp" - op die manier zou niemand het opmerken die geen verborgen bestanden zichtbaar heeft (dus 90% van de mensen).
Wat ik als een groter probleem zie, is dat iemand zijn eigen ontwikkelaars-ID heeft gebruikt om langs GateKeeper te komen - hier moet Apple heel snel reageren en deze personen voor altijd verbannen. Misschien zou ik het kunnen zien in een "rapporteer als spam/virus"-functie, ergens diep verborgen, zodat Apple er onmiddellijk mee aan de slag zou moeten gaan wanneer het meer dan één dergelijke melding over de toepassing ontvangt.
Ik moet bekennen dat ik mijn officiële ontwikkelaars-ID niet heb, maar ik denk dat het voldoende is om een e-mail in te stellen, een lidmaatschap te betalen, zelfs voor 900,- per jaar, en de gebruiker is "live" en kan spelen ( als hij het niet rechtstreeks in de AppStore plaatst), wat voldoening kan geven, maar ik weet niet precies hoe het werkt, corrigeer me alsjeblieft.
Aan de andere kant kunnen gebruikers GateKeeper hebben uitgeschakeld omdat ze dingen van internet installeren, en ik moet toegeven dat ik het ook heb uitgeschakeld, omdat ik hierdoor geen app kon installeren die ik normaal gebruik, ik denk dat het OnyX was toen (vers geïnstalleerd 10.8) en het werd niet gedetecteerd. Ik vraag me af of ze al officiële ontwikkelaars zijn en dat ik het kan inschakelen ...
Ik heb het ook voor mijn vrouw uitgeschakeld omdat ik een paar "apps/scripts/widgets" ontwikkelde die alleen zij en ik gebruiken en ze wilde niet dat ik het op haar OSX installeerde...
Ik raad aan Gatekeeper in te schakelen en als u een applicatie wilt installeren die niet is ondertekend, klikt u met de rechtermuisknop op het pakket/de app en klikt u op Openen. Er bestaat dan een mogelijkheid om voor dit geval de Poortwachter te omzeilen. Ik doe het zelf en het lijkt mij veiliger - ik kan ook niet-ondertekende applicaties installeren, maar Gatekeeper houdt al het andere in de gaten.
Bedankt, dit wist ik niet