Las computadoras Mac están siendo atacadas por un nuevo malware que toma capturas de pantalla sin el conocimiento del usuario y luego carga archivos en servidores dudosos. El virus se esconde debajo de la aplicación. macs.aplicación. Sin embargo, por ahora no está muy extendido.
Un nuevo tipo de amenaza para los usuarios de ordenadores Apple fue descubierto en el Mac de uno de los participantes del Foro de la Libertad de Oslo, una conferencia internacional sobre derechos humanos organizada anualmente en Oslo por la Fundación de Derechos Humanos.
Una vez que instala macs.app, la aplicación se ejecuta en segundo plano y toma capturas de pantalla de forma silenciosa. Cada imagen capturada se almacena en una carpeta. Aplicación para Mac en su directorio de inicio desde donde se cargan los archivos tabladeseguridad.org a docsforum.inf. Ninguno de los dominios está disponible.
[do action=”tip”]Compruebe si hay una carpeta en su directorio de inicio Aplicación para Mac (ver imagen).[/do]
Macs.app puede funcionar en tu Mac porque, a diferencia de otros programas maliciosos, tiene asignado un ID de desarrollador de Apple funcional, lo que significa que supera la protección Gatekeeper. El número de identificación pertenece a un tal Rajender Kumar, y Apple tiene la posibilidad de congelar sus derechos, lo que probablemente también imposibilitaría el funcionamiento del virus. Por tanto, podemos esperar una pronta intervención de la empresa californiana.
Es bueno saberlo. Pero, ¿por qué debería instalarlo (es una aplicación o un paquete de instalación)?
F-secure está investigando actualmente el malware para determinar mejor su origen, modos de instalación y cómo se ejecuta.
No he descubierto en qué forma se descarga exactamente, pero cuando lo tienes en tu computadora, se inicia automáticamente cuando inicias tu computadora. Sin embargo, no veo si es necesario instalarlo.
Lógicamente el usuario tiene que ejecutarlo, la única duda es si viene "empaquetado" con alguna aplicación, ya sea legal o crackeada, o si llega un correo tipo "Fotos de desnudos, ejecútame ahora" y el usuario lo inicia.
Dado que parece primitivo (se puede escribir en AppleScript muy fácilmente) y dado que escribe en la carpeta del usuario, ni siquiera debería necesitar una contraseña de administrador, pero a juzgar por la imagen y la información del artículo, podría ser diferente :)
Si se inicia después del inicio, entonces diría que tiene que finalizar la instalación (incluso el demonio o la aplicación misma). De todos modos, como escribe DJManas, lo escribe en la carpeta del usuario precisamente para que no sea necesaria una contraseña. No entiendo por qué lo escribe en "MacApp" y no en ".MacApp"; de esa manera, nadie que no tenga archivos ocultos visibles (el 90% de las personas) se daría cuenta.
Lo que veo como un problema mayor es que alguien usó su propio ID de desarrollador para superar GateKeeper; aquí Apple tiene que reaccionar muy rápido y prohibir a estas personas para siempre. Tal vez podría verlo en alguna función de "reportar como spam/virus", oculta en algún lugar profundo, de modo que Apple debería comenzar a solucionarlo inmediatamente cada vez que reciba más de una notificación de este tipo sobre la aplicación.
Confieso que no tengo mi ID de desarrollador oficial, pero creo que basta con configurar un correo electrónico, pagar una membresía, incluso por 900,- al año, y el usuario está "vivo" y puede jugar ( si no lo pone directamente en la AppStore), lo cual puede traer satisfacción, pero no sé exactamente cómo funciona, que alguien me corrija.
Por otro lado, los usuarios pueden tener GateKeeper desactivado porque instalan cosas desde la Web, y admito que yo también lo desactivé, porque no me dejaba instalar una aplicación que uso normalmente, supongo que era OnyX. en aquel entonces (recién instalado 10.8) y no detectó. Me pregunto si ya son desarrolladores oficiales y puedo activarlo...
También lo desactivé para mi esposa ya que desarrollé un par de "aplicaciones/scripts/widgets" que solo ella y yo usamos y ella no me dejó instalarlo en su OSX...
Recomiendo activar Gatekeeper y si desea instalar una aplicación que no esté firmada, simplemente haga clic derecho en el paquete/aplicación y haga clic en Abrir. Entonces existe la posibilidad de omitir el Gatekeeper en este caso. Lo hago yo mismo y me parece más seguro: también puedo instalar aplicaciones no firmadas, pero Gatekeeper vigila todo lo demás.
Gracias, no sabia esto