Ondrej Holzman L'urdinatori Mac sò attaccati da un novu malware chì piglia screenshots senza a cunniscenza di l'utilizatori è poi carica i fugliali à i servitori dubbiosi. U virus si nasconde sottu à l'applicazione macs.app. Per avà, però, ùn hè micca assai diffusa.
Un novu tipu di minaccia per l'utilizatori di l'informatica Apple hè stata truvata in u Mac di unu di i participanti di u Oslo Freedom Forum, una cunferenza internaziunale nantu à i diritti umani urganizata annu in Oslo da a Fundazione di i Diritti Umani.
Una volta installate macs.app, l'app corre in fondo è piglia screenshots in silenziu. Ogni maghjina catturata hè guardata in un cartulare Mac App in u vostru cartulare di casa da induve i schedari sò caricati securitytable.org a docsforum.inf. Nisunu duminiu hè dispunibule.
[do action="tip"]Verificate u vostru cartulare di casa per un cartulare Mac App (vede a stampa).[/do]
Macs.app pò travaglià nantu à u vostru Mac perchè, à u cuntrariu di l'altri malware, hà un ID di Sviluppatore Apple chì funziona, chì significa chì supera a prutezzione Gatekeeper. U numeru d'identificazione appartene à un certu Rajender Kumar, è Apple hà l'opzione di congelazione di i so diritti, chì prubabilmente ancu rende u virus impussibile di funziunà. Allora pudemu aspittà una intervenzione anticipata da a cumpagnia californiana.
Hè bonu di sapè. Ma perchè a terra l'aghju installatu (hè un .app o un pacchettu di stallazione) ?
F-secure hè attualmente investigatu u malware per determinà megliu a so origine, i modi di stallazione, è cumu funziona.
Ùn aghju micca scupertu in quale forma hè telecaricatu esattamente, ma quandu l'avete in u vostru urdinatore, cumencia automaticamente quandu avete principiatu u vostru urdinatore. Tuttavia, ùn vecu micca s'ellu deve esse stallatu.
Lòggicamente, l'utilizatore hà da eseguisce, l'unica quistione hè s'ellu hè "imballatu" cù qualchì applicazione, sia legale o crackata, o se un email cum'è "Nude pictures of , run me now" arriva è l'utilizatore l'inizia.
Siccomu pare primitivu (pò esse scrittu in AppleScript assai facilmente) è postu chì scrive à u cartulare di l'utilizatori, ùn deve mancu bisognu di una password di amministratore, ma solu ghjudicà da l'imaghjini è l'infurmazioni in l'articulu, pò esse diversu :)
S'ellu principia dopu à l'iniziu, allora diceraghju chì deve finisce a stallazione (ancu u demoniu o l'applicazione stessa). In ogni casu, cum'è DJManas scrive, u scrive in u cartulare di l'utilizatori precisamente cusì chì ùn ci hè micca bisognu di una password. Ùn capiscu micca perchè scrive in "MacApp" è micca in ".MacApp" - cusì nimu chì ùn hà micca i schedari hidden visibili (cusì 90% di e persone) ùn averia nutatu.
Ciò chì vecu cum'è un prublema più grande hè chì qualchissia hà utilizatu u so propiu ID di sviluppatore per passà GateKeeper - quì Apple hà da reagisce assai rapidamente è pruibisce questi individui per sempre. Forse l'aghju pussutu vede nantu à una funzione "rapportu cum'è spam/virus", oculata in un locu prufondu, cusì chì Apple deve cumincià à trattà immediatamente ogni volta chì riceve più di 1 tali notificazioni nantu à l'applicazione.
Confessu chì ùn aghju micca u mo ID ufficiale di sviluppatore, ma pensu chì hè abbastanza per stabilisce un email, pagà per un adesione, ancu per 900,- à l'annu, è l'utilizatore hè "live" è pò ghjucà ( s'ellu ùn u mette micca direttamente in l'AppStore), chì pò purtà a satisfaczione, ma ùn sò micca esattamente cumu si funziona, qualcunu per piacè correggimi.
Per d 'altra banda, l'utilizatori ponu esse disattivatu GateKeeper perchè installanu e cose da u Web, è ammettu chì l'aghju disattivatu ancu, perchè ùn m'hà micca permessu di stallà una app chì usu di solitu, pensu chì era OnyX. allora (di novu installatu 10.8) è ùn hà micca rilevatu, mi dumandu s'ellu sò digià sviluppatori ufficiali è possu attivà ...
L'aghju ancu disattivatu per a mo moglia cum'è aghju sviluppatu un paru di "applicazioni / scripts / widgets" chì solu ella è eiu usemu è ùn mi lasciava micca stallà nantu à u so OSX ...
Aghju ricumandemu di accende Gatekeeper è se vulete installà una applicazione chì ùn hè micca firmata, fate un clic right-click nant'à u pacchettu / app è cliccate Open. Ci hè tandu a pussibilità di bypassà u Gatekeeper per questu casu. A facciu per mè stessu è mi pare più sicura - Puderaghju ancu installà applicazioni senza firmate, ma Gatekeeper mantene un ochju à tuttu u restu.
Grazie, ùn sapia micca questu