비디오: How to fix Startup Disk Full on Mac OS (십월 2024)
연구원들은 Angolan 운동가의 Mac에서 사용자를 감시하도록 설계된 멀웨어를 발견했습니다.
독립 보안 연구원 Jacob Appelbaum은 운동가의 Mac에서 이전에 알려지지 않은 새로운 백도어를 발견 한 반면, Oslo Freedom Forum에서 트위터에 썼습니다. 그는 곧 다른 운동가의 컴퓨터에서 두 번째 변종을 발견했습니다.
BitDefender의 Bogdan Botezatu는 "새로운 행동을 가진 완전히 새로운 멀웨어 인 것 같습니다"라고 SecurityWatch에 말했습니다.
보테 자투는 적어도 첫 번째 공격의 경우, 활동가는 스피어 피싱 공격의 희생자였으며, 맥에 로그인 한 상태에서 악성 코드를 다운로드하여 설치해야한다고 말했다.
악성 코드의 기능
F-Secure의 Sean Sullivan이 회사 블로그에 썼던 백도어 응용 프로그램은 사용자 컴퓨터의 스크린 샷을 찍어 사용자의 홈 디렉토리 인 MacApp이라는 폴더에 저장합니다. 설리번은 F- 시큐어 연구원들이이 제품이 상업적으로 개발됐다고 의심했다.
일단 설치되면 응용 프로그램은 현재 사용자의 로그인 항목 목록에 추가되었으며, 사용자가 Mac에 로그인 할 때 자동으로 실행되는 응용 프로그램 목록입니다. 이 악성 코드는 스크린 샷을 네덜란드와 프랑스에있는 두 대의 명령 및 제어 서버에 업로드했습니다.
명령 및 제어 서버의 주요 목적은 모든 스크린 샷을 수집하는 것이지만 감염된 시스템에 대한 호스트 이름과 추가 정보도 저장합니다. BitDefender 연구원은 Mac 백도어의 두 번째 변종이 추가 페이로드 및 구성 요소를 다운로드하기 위해 루마니아의 서버와 통신했음을 발견했습니다.
보테 자투는이 서버가 다른 서버가 중단되면 범죄자들에게 폴백으로 작용할 가능성이 있다고 말했다.
보테 자투는이 악성 코드 자체가 "정교하지는 않지만"그 컴퓨터에서 사용자의 활동에 대한 정보를 수집 할 수 있었다고 말했다.
Apple ID가 도난 당했습니까?
이 악성 코드는 유효한 Apple Developer ID로 서명되었으며, 이는 Mac OS X의 Gatekeeper 기능으로는 감지되지 않습니다. Apple은 Gatekeeper를 도입하여 인터넷에서 다운로드 한 서명되지 않은 응용 프로그램이 Mac OS X Mountain Lion 및 Lion에서 실행되지 못하게합니다. 작년 v10.7.5. BitDefender는 이것이 합법적 인 Apple ID로 디지털 서명 된 최초의 Mac 맬웨어라고 생각합니다.
이 시점에서 키가 합법적 인 개발자로부터 도난 당했는지 또는 맬웨어 개발자가 Apple을 속여 ID를 생성하도록 유도했는지 여부는 알려져 있지 않습니다. 보테 자투는이 이름이 최근에 사라진 유명한 볼리우드 스타와 비슷한 점을 고려할 때 개발자가 애플리케이션 프로세스의 일부로 가짜 신원을 만들었을 것이라고 말했다.
사용자는 홈 디렉토리에서 감염 여부를 파악할 MacApp 폴더가 있는지 확인할 수 있습니다.
Appelbaum은 악성 코드가 쉽게 탐지 된 이후 "불명예"였지만 여전히 "치명적"이라고 말했다. 아펠 바움은 트위터에 썼다.
