Signierte Macintosh-Malware verwendet rechts-nach-links-Override

2014-01-08  |  Comebuy News

Forscher bei F-Secure haben entdeckt, dass Malware für OS X, welches eine Technik namens rechts-nach-links-Override (RLO) um seine bösartigen Natur spoof nutzt. RLO dient in bidirektionalen Text Kodierung Systeme als eine Möglichkeit, den Beginn des Textes zu kennzeichnen, die von rechts nach links angezeigt werden sollen. Dies wird häufig angezeigt, in Anwendungen und Software, die korrekt angezeigt, Arabisch, Hebräisch, Persisch und Jiddisch können - unter anderen Sprachen.

Comebuy Verwandte Artikel: Neue digital signierter Mac-Malware verwirrt Benutzer mit rechts-nach-links-Datei namens TricksHackers Flip Zeichen um MalwareAvast bietet kostenlose Security für Mac-OS-Xbleibt des Tages zu verschleiern: alles für alle PeopleCross-Plattform-Malware, die Tech-Riesen hit hatte spezifische Ziele

RLO als Mittel des Angriffs hat es schon seit Ende 2009, aber im Jahr 2011, wenn die Technik verwendet wurde, um die Bredolab-Familie von Malware zu verbreiten, breitere Aufmerksamkeit gewonnen. Während frühere Attacken mit RLO grand Systeme wurden, zeigt F-Secure Entdeckung des Prozesses verwendet wird, einfach um die tatsächlichen Datei-Endung zu verstecken.

Untersuchung der Malware zeigt Code, der einen Angreifer die kontinuierliche Screenshots und Record audio, während des Wartens auf weitere Befehle ermöglicht. Es ist in Python geschrieben und verwendet py2app für die Verteilung. Der Code wird durch eine legitime Apple Developer ID, signiert, die helfen können sie einige der Steuerelemente auf einem Mac je nach der Benutzer ihre Sicherheitseinstellungen Konfiguration zu umgehen. Zur gleichen Zeit aufgrund der Art, wie die Malware codiert ist wirkt der RLO auch die Quarantäne-Benachrichtigung zwingt sie die Warnung mit gesamten umgekehrt Text angezeigt wird.

Sobald durchgeführt, vorausgesetzt, der Angriff macht, dass jetzt die Malware zeigt eine PDF-Datei (Dies ist der Fall für die Variante von F-Secure entdeckt), agiert wie ein Köder während ein CRON-Job und verborgenen Ordner im home-Verzeichnis des Benutzers im Hintergrund erstellt wird. Die Malware wird dann eine Verbindung zu verschiedenen Seiten erhalten Sie die Adresse des Command and Control (C & C) Server. F-Secure beobachtet zwei Videos auf YouTube, die die C & C enthalten Adresse im Feld "Beschreibung".

Laut der Statistik von YouTube bevor die Videos entfernt wurden, hatte die Malware mehr als 1.000 Systeme infiziert.

Als eine Schutzmaßnahme ist es ratsam, dass die Sicherheit und Datenschutz-Präferenzen konfiguriert werden nur apps aus dem App Store ohne ausdrückliche Ermächtigung ausgeführt. Sobald die Apple Developer ID widerrufen, kennzeichnet Gatekeeper auch diese Malware (und andere Varianten mit derselben ID signiert) als Problem.

Lesen Sie mehr über den Datenschutz in CSOonline's-Datenschutz-Abschnitt.

« Back