MacSpy káros szoftver – MaaS – Nemzeti Kiberbiztonsági Intézet

MacSpy káros szoftver – MaaS

2017. június 14. 11:24

CH azonosító

CH-14093

Angol cím

MacSpy malware - MaaS

Felfedezés dátuma

2017.06.13.

Súlyosság

Alacsony

Érintett rendszerek

Apple
Mac OS X

Érintett verziók

Apple Mac OS X

Összefoglaló

A közelmúltban került napvilágra a MacSpy nevű malware, amelyet írói MaaS – Malware as a Service – szolgáltatásként kínálnak ingyenes és fizetõs kiadásban egyaránt.

Leírás

Az OS X platform egyik elsõ MaaS szolgáltatása érhetõ el az Interneten. A klasszikus malware-tõl eltérõen ez nem fertõz, mûködését tekintve a keyloggerekhez áll közelebb. Az ingyenes verzió a telepítést követõen az alábbi funkciókat kínálja:

eltünteti a böngészési nyomokat, minden forgalom TOR hálózaton történik;
30 másodpercenként screenshot-ot készít, többképernyõs támogatással;
a billentyûleütés figyelésére keyloggert tartalmaz;
a felhasználó iPhone eszközén lévõ fényképeket is megszerzi, amint az leszinkronizálja magát az iCloud-dal;
alacsony RAM/CPU használattal láthatatlan a felhasználó számára;
kikapcsolt mikrofon esetén is képes hangot rögzíteni;
a vágólap tartalmát is figyeli;
Safari és Chrome böngészõk használata esetén a szoftver tanul a böngészési elõzményekbõl és a letöltött adatokból.

Bizonyos bitcoin-ért cserébe a teljes verzió is telepíthetõ, mely esetben a malware többek között hozzáfér az emailekhez, közösségi oldalak bejelentkezési adataihoz, továbbá bármilyen – a Mac-en lévõ – fájlhoz.

A malware 4 fájlt tartalmaz:

Mach-O 64-bit executable called ‘updated’
Mach-O 64-bit executable called ‘webkitproxy’
Mach-O 64-bit dynamically linked shared library called ‘libevent-2.0.5.dylib’
Config file

A program képes érzékelni, ha debug környezetben, illetve virtuális gépen fut.

A fertõzés detektálására hálózati IDS használata a legjobb megoldás, ahol szabályok segítségével kimutatható a Mac fertõzöttsége. Emellett egyre több vírusirtó adatbázisába kerül be a minta, az alábbi hash értékek lekérdezhetõek: