Uno spyware di Mac OS X precedentemente sconosciuto, firmato con un Apple Developer ID valido, è apparso sul laptop di un attivista dell'Angola durante una conferenza sui diritti umani in Norvegia.
Il ricercatore di sicurezza e attivista per la privacy Jacob Appelbaum ha trovato lo spyware sul Mac dell'attivista all'Oslo Freedom Forum all'inizio di questa settimana.
Il computer dell'attivista è stato compromesso a seguito di un attacco di spear phishing, Appelbaum ha detto giovedì su Twitter. Il ricercatore afferma di avere copie delle e-mail di attacco e due diversi campioni di malware.
I ricercatori di sicurezza della società finlandese di antivirus F-Secure hanno analizzato uno dei campioni di malware e hanno concluso che si tratta di un programma backdoor per Mac precedentemente sconosciuto che sembra essere firmato con uno sviluppatore Apple valido ID.
Il programma ID sviluppatore di Apple consente agli sviluppatori di firmare le proprie applicazioni Mac con il digitale affidabile certificati emessi da Apple in modo che non vengano contrassegnati come malware dalla funzione Gatekeeper in Mac OS X Leone di montagna.
"La firma di applicazioni, plug-in e pacchetti di installazione con un certificato ID sviluppatore consente a Gatekeeper di verificare che non siano malware noti e che non siano stati manomessi", Apple dice sul suo sito web per sviluppatori. In teoria, ciò dovrebbe anche consentire ad Apple di revocare specificamente il certificato per questa app, impedendone l'esecuzione.
Il malware, che ora F-Secure rileva come OSX/KitM.A, acquisisce schermate senza autorizzazione e le salva in una cartella per caricarle successivamente su server remoti. Il malware contatta due domini di comando e controllo ospitati su server nei Paesi Bassi, secondo L'analisi di F-Secure.
La società antivirus Symantec ha anche aggiunto routine di rilevamento per la nuova minaccia, che chiama OSX.Kitmos. Oltre a catturare schermate, questo programma Trojan può scaricare e installare altri malware e rubare informazioni, ha affermato la società in un documento tecnico sul suo sito web.
Il malware può eseguire comandi per conto di aggressori, può caricare file dal computer compromesso e può manipolare l'indicatore di attività di rete per nascondere la sua presenza, ha affermato Symantec.
Rispondendo a una domanda su Twitter sull'intenzione di rendere pubbliche le copie delle e-mail di spear phishing, Applebaum ha affermato di essere probabilmente scriverà un post sul blog a riguardo, ma dopo aver parlato con la vittima di alcuni dettagli dal momento che potrebbe essere la loro vita Pericolo.