Новый Mac-вредонос применяет сертификат Apple Developer ID

Специалисты по информационной безопасности говорят об обнаружении новых вредоносных кодов из семейства ранее выявленного шпионского софта KitM для операционной системы Mac OS X. Один из новых кодов, судя по всему, был написан еще в декабре 2012 года и предназначен только для пользователей в Германии.

KitM (Kumar in the Mac) также известнен как HackBlack и представляет собой разновидность бэкдора, который делает снимки экрана и передает их на удаленный хакерский сервер. Он также открывает Shell-доступ к зараженному компьютеру, позволяя выполнять на нем разные команды.

Интересно отметить, что последние образцы KitM были подписаны действительным сертификатом Apple Developer ID, выпущенным компанией Apple для некоего разработчика Rajinder Kumar. Также вредонос подписан действующим сертификатом для обхода инструмента безопасности Gatekeeper, присутствующего в Mac OS X Mountain Lion.

Первые два образца вредоносов, выявленные компанией F-Secure, подключались к C&C-серверам в Нидерландах и Румынии. В свою очередь секьюрити-вендор Norman Shark сообщает, что коды KitM применяются для кибершпионской компании Operation Hangover. F-Secure сообщает, что по данным ее анализа, KitM-варианты активно применялись для атак в период с декабря по февраль.

Все выявленные KitM-инсталляторы содержали Zip-архивы и представляли собой исполнимые файлы Mach-O, а также были замаскированы под документы Adobe PDF или Microsoft Word. Последнее было необходимо для распространения вредоносов через email для пользователей, работающих с Windows.

Последние образцы кодов также подписаны сертификатом Rajinder Kumar, который Apple еще на прошлой неделе аннулировала. Однако это не поможет тем, кто уже получил на свой компьютер вредонос, так как инструмент Gatekeeper проверяет сертификат лишь однажды — при первом запуске, если же потом Apple аннулирует сертификат, то для Gatekeeper это будет уже неважно.