Ondrej Holzman Os ordenadores Mac están sendo atacados por un novo malware que toma capturas de pantalla sen o coñecemento do usuario e despois carga ficheiros a servidores dubidosos. O virus escóndese baixo a aplicación macs.app. Por agora, con todo, non está moi estendido.
Atopouse un novo tipo de ameaza para os usuarios de ordenadores de Apple na Mac dun dos participantes do Oslo Freedom Forum, unha conferencia internacional sobre dereitos humanos que organiza anualmente en Oslo a Fundación dos Dereitos Humanos.
Unha vez que instales macs.app, a aplicación execútase en segundo plano e fai capturas de pantalla en silencio. Cada imaxe capturada gárdase nun cartafol Aplicación para Mac no teu directorio persoal desde onde se cargan os ficheiros securitytable.org a docsforum.inf. Ningún dominio está dispoñible.
[do action="tip"]Busca un cartafol no teu directorio de inicio Aplicación para Mac (ver imaxe).[/facer]
Macs.app pode funcionar no teu Mac porque, a diferenza doutros programas maliciosos, ten asignado un ID de programador de Apple que funciona, o que significa que supera a protección de Gatekeeper. O número de identificación pertence a un tal Rajender Kumar, e Apple ten a opción de conxelar os seus dereitos, o que probablemente tamén faría imposible o funcionamento do virus. Así que podemos esperar unha intervención temperá da empresa californiana.
É bo saber. Pero por que o instalaría (é un .app ou un paquete de instalación)?
F-secure está investigando actualmente o malware para determinar mellor a súa orixe, os modos de instalación e como funciona.
Non descubrín de que forma se descarga exactamente, pero cando o tes no teu ordenador, comeza automaticamente ao iniciar o teu ordenador. Non obstante, non vexo se hai que instalar.
Loxicamente, o usuario ten que executalo, a única dúbida é se está "empaquetado" con algunha aplicación, sexa legal ou crackeada, ou se chega un correo electrónico como "Nude pictures of , run me now" e o usuario a inicia.
Dado que parece primitivo (pódese escribir en AppleScript moi facilmente) e dado que escribe no cartafol do usuario, nin sequera debería necesitar un contrasinal de administrador, pero só xulgo pola imaxe e a información do artigo. pode ser diferente :)
Se comeza despois do inicio, entón diría que ten que rematar a instalación (incluso o daemon ou a propia aplicación). De todos os xeitos, como escribe DJManas, escríbeo no cartafol do usuario precisamente para que non faga falta un contrasinal. Non entendo por que o escribe en "MacApp" e non en ".MacApp": así ninguén que non teña ficheiros ocultos visibles (polo que o 90% das persoas) se decataría.
O que vexo como un problema maior é que alguén usou o seu propio ID de programador para superar GateKeeper; aquí Apple ten que reaccionar moi rápido e prohibir a estes individuos para sempre. Quizais puidese velo nalgunha función de "informar como spam/virus", oculta nalgún lugar profundo, de xeito que Apple debería comezar a tratar con ela inmediatamente sempre que reciba máis dunha notificación deste tipo sobre a aplicación.
Confeso que non teño o meu ID de programador oficial, pero creo que abonda con configurar un correo electrónico, pagar unha subscrición, mesmo por 900,- ao ano, e o usuario está "en directo" e pode xogar ( se non o mete directamente na AppStore), o que pode traer satisfacción, pero non sei exactamente como funciona, que alguén me corrixa.
Por outra banda, os usuarios poden ter GateKeeper desactivado porque instalan cousas desde a Rede, e admito que eu tamén o desactivei, porque non me deixaba instalar unha aplicación que uso normalmente, supoño que era OnyX. daquela (recén instalada 10.8) e non se detectou, pregúntome se xa son desenvolvedores oficiais e podo activalo...
Tamén o desactivei para a miña muller mentres desenvolvín un par de "aplicacións/scripts/widgets" que só usamos ela e eu e que non me deixou instalalo no seu OSX...
Recomendo activar o Gatekeeper e se queres instalar unha aplicación que non estea asinada, fai clic co botón dereito do rato no paquete/aplicación e fai clic en Abrir. Hai entón a posibilidade de ignorar o Gatekeeper para este caso. Fágoo eu mesmo e paréceme máis seguro: tamén podo instalar aplicacións sen asinar, pero Gatekeeper está atento a todo o demais.
Grazas, non o sabía