又是一年一度的奥斯陆Freedom Conference,众多活动家共聚一堂、探讨如何进一步改善人权待遇。在今年的会议上,苹果OS X恶意软件却出人意料地成为讨论内容。
在针对如何保护个人硬件免受政府入侵的一场研讨会中,安全研究员Jacob Applebaum发现一位安哥拉人权活动家的笔记本电脑中存在恶意软件。该软件能够从受感染的系统中窃取截屏信息,并上传至两台分别负责指令与控制的服务器端。
这款恶意软件名为macs.app,属于隐藏程序,能够将自己安装在计算机的日志项目当中,并借以在设备启动的同时进入运行状态。由于它拥有合法的苹果开发者ID,因此能够躲过苹果Gatekeeper安全软件的层层把关。
一旦被激活,该软件会在受感染的计算机中捕捉一系列屏幕截图,并将数据发送到两台服务器端——其中一台处于非活动状态、另一台则属于私有设备。在被首次发现之后,该恶意软件又再次现身于另一套系统当中,但大家目前还没有将其视为大规模恶意攻击。
“这位来自安哥拉的活动家遭遇了鱼叉式网络钓鱼攻击——我掌握着其原始邮件、原始负载以及更新负载内容,”Applebaum在Twitter中表示。他还声称苹果公司目前已经撤销了使用该代码的开发者ID。
值得庆幸的是,这款恶意软件删除起来非常简单。F-Secure公司已经有针对性地在安全软件中添加了一个签名文件,用户可以将该文件删除来亲手把隐藏在日志队列以及应用程序文件夹中的macs.app应用消灭掉。
利用开发者ID来传播恶意软件在OS X领域非常罕见,再考虑到它所采用的高针对性扩散途径,我们基本可以认定这是一次围绕特定个人开展的独立间谍活动。
恶意软件目前被越来越多地用于窥探来自中国及其它国家(在西方发达国家政府没必要这么干,因为电话公司很乐于配合调查工作)的社会活动家,因此那些预感到自己可能受到监视的用户必须对自己的系统及通信机制采取额外的防范措施。