A közelmúltban került napvilágra a MacSpy nevű malware, amelyet írói MaaS - Malware as a Service - szolgáltatásként kínálnak ingyenes és fizetõs kiadásban egyaránt.
Az OS X platform egyik elsõ MaaS szolgáltatása érhetõ el az Interneten. A klasszikus malware-tõl eltérõen ez nem fertõz, mûködését tekintve a keyloggerekhez áll közelebb. Az ingyenes verzió a telepítést követõen az alábbi funkciókat kínálja:
- eltünteti a böngészési nyomokat, minden forgalom TOR hálózaton történik;
- 30 másodpercenként screenshot-ot készít, többképernyõs támogatással;
- a billentyûleütés figyelésére keyloggert tartalmaz;
- a felhasználó iPhone eszközén lévõ fényképeket is megszerzi, amint az leszinkronizálja magát az iCloud-dal;
- alacsony RAM/CPU használattal láthatatlan a felhasználó számára;
- kikapcsolt mikrofon esetén is képes hangot rögzíteni;
- a vágólap tartalmát is figyeli;
- Safari és Chrome böngészõk használata esetén a szoftver tanul a böngészési elõzményekbõl és a letöltött adatokból.
Bizonyos bitcoin-ért cserébe a teljes verzió is telepíthetõ, mely esetben a malware többek között hozzáfér az emailekhez, közösségi oldalak bejelentkezési adataihoz, továbbá bármilyen - a Mac-en lévõ - fájlhoz.
A malware 4 fájlt tartalmaz:
- Mach-O 64-bit executable called 'updated'
- Mach-O 64-bit executable called 'webkitproxy'
- Mach-O 64-bit dynamically linked shared library called 'libevent-2.0.5.dylib'
- Config file
A program képes érzékelni, ha debug környezetben, illetve virtuális gépen fut.
A fertõzés detektálására hálózati IDS használata a legjobb megoldás, ahol szabályok segítségével kimutatható a Mac fertõzöttsége. Emellett egyre több vírusirtó adatbázisába kerül be a minta, az alábbi hash értékek lekérdezhetõek:
- 6c03e4a9bcb9afaedb7451a33c214ae4
- c72de549a1e72cfff928e8d2591d7e97
- cc07ab42070922b760b6bf9f894d0290
- 27056cabd185e939195d1aaa2aa1030f
- f38977a34b1f6d8592fa17fafdb76c59
Egyéb referencia:https://securityintelligence.com/news/ro...
Ne telepítsen nem meg bízható forrásból programokat, csak az Apple Store-ból!