Ondrej Holzman Mac-Computer werden von neuer Malware angegriffen, die ohne Wissen des Benutzers Screenshots erstellt und dann Dateien auf dubiose Server hochlädt. Der Virus versteckt sich unter der Anwendung macs.app. Derzeit ist es jedoch nicht sehr weit verbreitet.
Auf dem Mac eines Teilnehmers des Oslo Freedom Forum, einer internationalen Menschenrechtskonferenz, die jährlich in Oslo von der Human Rights Foundation organisiert wird, wurde eine neue Art von Bedrohung für Apple-Computerbenutzer entdeckt.
Sobald Sie macs.app installiert haben, läuft die App im Hintergrund und macht im Hintergrund Screenshots. Jedes aufgenommene Bild wird in einem Ordner gespeichert Mac-App in Ihrem Home-Verzeichnis, von wo aus die Dateien hochgeladen werden securitytable.org a docsforum.inf. Keine der beiden Domains ist verfügbar.
[do action=“tip“]Überprüfen Sie Ihr Home-Verzeichnis auf einen Ordner Mac-App (siehe Bild).[/do]
Macs.app kann auf Ihrem Mac funktionieren, da ihm im Gegensatz zu anderer Malware eine funktionierende Apple-Entwickler-ID zugewiesen ist, was bedeutet, dass es den Gatekeeper-Schutz überwindet. Die Identifikationsnummer gehört einem gewissen Rajender Kumar, und Apple hat die Möglichkeit, seine Rechte einzufrieren, was wahrscheinlich auch die Funktion des Virus unmöglich machen würde. Wir können also mit einem baldigen Eingreifen des kalifornischen Unternehmens rechnen.
Es ist gut zu wissen. Aber warum um alles in der Welt sollte ich es installieren (ist es eine .app oder ein Installationspaket)?
F-secure untersucht die Malware derzeit, um ihren Ursprung, die Installationsmodi und ihre Ausführung besser zu bestimmen.
Ich habe nicht genau herausgefunden, in welcher Form es heruntergeladen wird, aber wenn Sie es auf Ihrem Computer haben, startet es automatisch, wenn Sie Ihren Computer starten. Allerdings sehe ich nicht, ob es installiert werden muss.
Logischerweise muss der Benutzer es ausführen. Die Frage ist nur, ob es mit einer Anwendung „gebündelt“ ist, ob legal oder gecrackt, oder ob eine E-Mail wie „Nackte Bilder von , führe mich jetzt aus“ eintrifft und der Benutzer es startet.
Da es primitiv aussieht (es kann sehr einfach in AppleScript geschrieben werden) und da es in den Ordner des Benutzers schreibt, sollte es nicht einmal ein Administratorkennwort erfordern, aber ich urteile nur anhand des Bildes und der Informationen im Artikel könnte anders sein :)
Wenn es nach dem Start startet, würde ich sagen, dass es die Installation abschließen muss (sogar der Daemon oder die Anwendung selbst). Wie DJManas schreibt, schreibt es es jedenfalls genau so in den Ordner des Benutzers, dass kein Passwort erforderlich ist. Ich verstehe nicht, warum es in „MacApp“ und nicht in „.MacApp“ geschrieben wird – auf diese Weise würde es niemand bemerken, der keine versteckten Dateien sichtbar hat (also 90 % der Leute).
Was ich als größeres Problem sehe, ist, dass jemand seine eigene Entwickler-ID verwendet hat, um an GateKeeper vorbeizukommen – hier muss Apple sehr schnell reagieren und diese Personen für immer sperren. Vielleicht könnte ich es in einer irgendwo tief versteckten Funktion „Als Spam/Virus melden“ sehen, so dass Apple sofort damit beginnen sollte, sich damit zu befassen, wenn es mehr als eine solche Benachrichtigung über die Anwendung erhält.
Ich gebe zu, dass ich nicht über meine offizielle Entwickler-ID verfüge, aber ich denke, dass es ausreicht, eine E-Mail einzurichten, eine Mitgliedschaft zu bezahlen, sogar für 900,- pro Jahr, und der Benutzer ist „live“ und kann spielen ( wenn er es nicht direkt in den AppStore stellt), was Befriedigung bringen kann, aber ich weiß nicht genau, wie es funktioniert, bitte korrigiert mich jemand.
Andererseits kann es sein, dass Benutzer GateKeeper deaktiviert haben, weil sie Dinge aus dem Web installieren, und ich gebe zu, dass ich es auch deaktiviert habe, weil ich damit keine App installieren konnte, die ich normalerweise verwende, ich schätze, es war OnyX damals (frisch installiert 10.8) und es wurde nicht erkannt. Ich frage mich, ob sie bereits offizielle Entwickler sind und ich es einschalten kann ...
Ich habe es auch für meine Frau deaktiviert, da ich ein paar „Apps/Skripte/Widgets“ entwickelt habe, die nur sie und ich verwenden, und sie ließ mich es nicht auf ihrem OSX installieren …
Ich empfehle, Gatekeeper zu aktivieren. Wenn Sie eine nicht signierte Anwendung installieren möchten, klicken Sie einfach mit der rechten Maustaste auf das Paket/die App und klicken Sie auf „Öffnen“. Für diesen Fall besteht dann die Möglichkeit, den Gatekeeper zu umgehen. Ich mache es selbst und es erscheint mir sicherer – ich kann auch unsignierte Anwendungen installieren, aber Gatekeeper behält alles andere im Auge.
Danke, das wusste ich nicht