Beveiligingsexperts hebben ontdekt dat het digitaal ondertekende spywareprogramma KitM voor Mac OS X afkomstig is uit India en zich richt op onder meer Duitsland.
Van de vorige week ontdekte spyware KitM bestaan meerdere versies. De software werd ontdekt op een MacBook van een Angolese activist, maar inmiddels zijn er meer varianten gevonden. Opvallend is dat sommige KitM-exponenten zich specifiek op Duitstalige gebruikers richten. Mogelijk circuleert de spyware sinds december 2012 al rond op het internet, blijkt uit onderzoek van securityleverancier Norman Shark.
Spyware lijkt goedgekeurde software
KitM (‘Kumar in the Mac’) lijkt op de eerder ontdekte trojan OSX/Filesteal, maar is digitaal ondertekend met een geldige Apple Developer ID, waardoor het langs de anti-malwarefunctionaliteit Gatekeeper van Mac OS X Mountain Lion kon glippen. Het programma maakt screenshots en verstuurt deze naar een command-and-control (C&C) server op afstand. Ook opent het een shellvenster aan de kant van de hacker, waarmee commando’s verstuurd kunnen worden naar de geïnfecteerde computer.
De vorige week op de Angolese laptop ontdekte KitM-varianten zijn verbonden met C&C servers die gehost werden in Nederland en Roemenië. Onderzoekers van Norman Shark hebben de domeinnamen van de servers inmiddels kunnen terugleiden naar een groot Indiaas botnet wat onderdeel uitmaakt van de cyberspionagecampagne ‘Operation Hangover’, een geavanceerde spionagepoging van India op buurland Pakistan en de Verenigde Staten.
Onverklaarbare Duitse link
Afgelopen woensdag ontving leverancier F-Secure een aantal KitM-varianten uit Duitsland. Deze spyware werd tussen december 2012 en februari dit jaar gebruikt om gecoördineerde aanvallen uit te voeren, schrijven onderzoekers in een blog. De spyware werd verspreid via spear-phishing e-mail aan Duitstalige slachtoffers waarbij de spyware was verpakt in een ZIP-bestand.
De kwaadaardige bijlagen droegen namen als Christmas_Card.app.zip, Content_for_Article.app.zip, Interview_Venue_and_Questions.zip, Content_of_article_for_[NAME REMOVED].app.zip en Lebenslauf_fur_Praktitkum.zip. Ook deze varianten waren ondertekend met de goedgekeurde Apple ID van ene ‘Rajinder Kumar’. Apple heeft dit gebruikersaccount inmiddels ongeldig verklaard.
Geen oplossing voor bedrijven
F-Secure raadt gebruikers aan de instellingen van Gatekeeper aan te passen zodat alleen goedgekeurde applicaties vanuit de Mac App Store kunnen worden gedownload en geïnstalleerd. Voor bedrijven die met zelfgemaakte custom software werken, die niet in de App Store verschijnt, is er helaas geen workaround behalve van het draaien van goede anti-virussoftware, erkent securityanalist Bogdan Botezatu van Bitdefender, die hoopt dat Apple snel met een definitieve oplossing zal komen.
Bron: Webwereld