Ondrej Holzman Mac bilgisayarlar, kullanıcının bilgisi dışında ekran görüntüleri alan ve ardından dosyaları şüpheli sunuculara yükleyen yeni kötü amaçlı yazılımların saldırısına uğruyor. Virüs uygulamanın altına gizleniyor Mac'ler.app. Ancak şimdilik çok yaygın değil.
İnsan Hakları Vakfı tarafından her yıl Oslo'da düzenlenen uluslararası bir insan hakları konferansı olan Oslo Özgürlük Forumu katılımcılarından birinin Mac'inde Apple bilgisayar kullanıcılarına yönelik yeni bir tehdit türü bulundu.
Macs.app'i yükledikten sonra uygulama arka planda çalışır ve sessizce ekran görüntüleri alır. Yakalanan her görüntü bir klasörde saklanır Mac Uygulaması dosyaların yüklendiği ana dizininizde güvenliktable.org a docsforum.inf. Her iki alan adı da mevcut değil.
[do action=”tip”]Ana dizininizde bir klasör olup olmadığını kontrol edin Mac Uygulaması (resme bakın).[/do]
Macs.app, Mac'inizde çalışabilir çünkü diğer kötü amaçlı yazılımların aksine, kendisine atanmış çalışan bir Apple Geliştirici Kimliği vardır, bu da Gatekeeper korumasını aştığı anlamına gelir. Kimlik numarası belirli bir Rajender Kumar'a ait ve Apple'ın bu kişinin haklarını dondurma seçeneği var, bu da muhtemelen virüsün çalışmasını imkansız hale getirecek. Yani Kaliforniyalı şirketten erken müdahale bekleyebiliriz.
Bildiğim iyi oldu. Peki neden onu kurayım (bu bir .app mi yoksa kurulum paketi mi)?
F-secure şu anda kötü amaçlı yazılımın kaynağını, kurulum modlarını ve nasıl çalıştığını daha iyi belirlemek için araştırıyor.
Tam olarak hangi formda indirildiğini bulamadım ama bilgisayarınıza aldığınızda bilgisayarınızı başlattığınızda otomatik olarak başlıyor. Ancak kurulması gerekip gerekmediğini anlamıyorum.
Mantıksal olarak, kullanıcının onu çalıştırması gerekiyor, tek soru bunun bir uygulamayla "paketlenmiş" olup olmadığı, yasal mı yoksa crackli mi olduğu veya "Çıplak resimler, beni şimdi çalıştır" gibi bir e-posta gelip kullanıcının başlatıp başlatmadığıdır.
İlkel göründüğünden (AppleScript'te çok kolay yazılabilir) ve kullanıcının klasörüne yazıldığından yönetici şifresine bile ihtiyaç duymaması gerekir, ancak sadece görselden ve makaledeki bilgilerden yola çıkarak öyle olduğunu düşünüyorum. farklı olabilir :)
Başlangıçtan sonra başlarsa, kurulumu bitirmesi gerektiğini söyleyebilirim (hatta arka plan programı veya uygulamanın kendisi). Neyse DJManas yazdığı gibi kullanıcının klasörüne tam olarak yazar böylece şifreye gerek kalmaz. Bunu neden ".MacApp" değil de "MacApp" olarak yazdığını anlamıyorum - bu şekilde gizli dosyaları görünür olmayan hiç kimse (yani insanların %90'ı) bunu fark etmez.
Daha büyük bir sorun olarak gördüğüm şey, birisinin GateKeeper'ı geçmek için kendi Geliştirici Kimliğini kullanmasıdır - burada Apple'ın çok hızlı tepki vermesi ve bu kişileri sonsuza kadar yasaklaması gerekiyor. Belki de bunu derin bir yere gizlenmiş bir "spam/virüs olarak rapor et" işlevinde görebilirim, böylece Apple, uygulama hakkında bu türden 1'den fazla bildirim aldığında hemen bununla ilgilenmeye başlamalıdır.
Resmi geliştirici kimliğimin olmadığını itiraf ediyorum, ancak bir e-posta kurmanın, yılda 900,- bile olsa üyelik için ödeme yapmanın yeterli olduğunu ve kullanıcının "canlı" olduğunu ve oynayabileceğini düşünüyorum ( eğer doğrudan AppStore'a koymazsa), bu memnuniyet getirebilir, ancak tam olarak nasıl çalıştığını bilmiyorum, lütfen biri beni düzeltsin.
Öte yandan, kullanıcılar Web'den bir şeyler yükledikleri için GateKeeper'ı kapatmış olabilirler ve itiraf etmeliyim ki ben de kapattım çünkü normalde kullandığım bir uygulamayı yüklememe izin vermiyordu, sanırım OnyX'ti o zamanlar (10.8'i yeni yükledim) ve algılamadı. Acaba onların zaten resmi geliştiriciler olup olmadığını merak ediyorum ve onu açabilirim…
Ayrıca sadece kendisinin ve benim kullandığımız birkaç "uygulama/komut dosyası/widget" geliştirdiğimden ve onu OSX'ine yüklememe izin vermediğinden eşim için de devre dışı bıraktım…
Gatekeeper'ı açmanızı öneririm ve imzalanmamış bir uygulama yüklemek istiyorsanız pakete/uygulamaya sağ tıklayın ve Aç'a tıklayın. Bu durumda Gatekeeper'ı bypass etme olasılığı vardır. Bunu kendim yapıyorum ve bana daha güvenli geliyor; imzasız uygulamaları da yükleyebiliyorum, ancak Gatekeeper diğer her şeye göz kulak oluyor.
Teşekkür ederim bunu bilmiyordum