Découvert la semaine dernière sur le Mac d'un participant de l'Oslo Freedom Forum, un événement consacré à la sécurité informatique et la liberté d’expression, le malware OSX/KitM.A possédait des variantes qui ont été en activité il y a plusieurs mois.
KitM prend la forme d'une application (macs.app) qui se lance automatiquement au démarrage, prend des captures d’écran à intervalles réguliers et les envoie à deux serveurs distants. F-Secure a repéré des variantes qui ont fonctionné entre décembre 2012 et février 2013. Des emails contenant des pièces jointes malicieuses ont été envoyés à cette période. Les fichiers se nommaient ainsi : Christmas_Card.app.zip, Content_for_Article.app.zip, Content_of_article_for_[NAME REMOVED].app.zip, Interview_Venue_and_Questions.zip, Lebenslauf_für_Praktitkum.zip.
La particularité de KitM et ses variantes est qu'ils sont signés avec un Apple Developer ID et peuvent donc s’installer discrètement même si Gatekeeper est activé. Apple a révoqué l'identifiant utilisé pour le malware la semaine dernière, ce qui signifie que l'application ne peut plus être lancée et que le système invite l’utilisateur à la supprimer par mesure de sécurité.
KitM prend la forme d'une application (macs.app) qui se lance automatiquement au démarrage, prend des captures d’écran à intervalles réguliers et les envoie à deux serveurs distants. F-Secure a repéré des variantes qui ont fonctionné entre décembre 2012 et février 2013. Des emails contenant des pièces jointes malicieuses ont été envoyés à cette période. Les fichiers se nommaient ainsi : Christmas_Card.app.zip, Content_for_Article.app.zip, Content_of_article_for_[NAME REMOVED].app.zip, Interview_Venue_and_Questions.zip, Lebenslauf_für_Praktitkum.zip.
La particularité de KitM et ses variantes est qu'ils sont signés avec un Apple Developer ID et peuvent donc s’installer discrètement même si Gatekeeper est activé. Apple a révoqué l'identifiant utilisé pour le malware la semaine dernière, ce qui signifie que l'application ne peut plus être lancée et que le système invite l’utilisateur à la supprimer par mesure de sécurité.
