image

Gevaarlijke Mac-malware verspreidt zich via Java-lek

zaterdag 14 april 2012, 19:37 door Redactie, 5 reacties

Mac-gebruikers die hun Java nog niet hebben bijgewerkt krijgen het dringende advies dit zo snel als mogelijk te doen, er is namelijk gevaarlijke nieuwe malware ontdekt die zich via Java verspreidt. Het gaat om de SabPub-backdoor die mogelijk voor gerichte aanvallen ontworpen is. Eenmaal actief maakt de backdoor verbinding met een Command & Control-server en wacht op verdere instructies. De malware kan screenshots van de huidige sessie maken en commando's op de geïnfecteerde computer uitvoeren.

Aan de hand van de 'timestamps' van de Java dropper waardoor de malware zich verspreidt, zou de backdoor op 16 maart gemaakt zijn. De dropper zou voor het eerst op 12 april naar de ThreatExpert website zijn gestuurd. Eén van de onderdelen van de dropper werd op 2 april op VirusTotal getest. In beide gevallen werd het bestand vanaf een Chinese computer verstuurd. Mogelijk is dit door de malwaremakers gedaan om te controleren of hun creatie door virusscanners zou worden gedetecteerd.

Gerichte aanval
De Java-exploit die de aanvallers gebruiken is volgens Costin Raiu van Kasperksy Lab vrij standaard, maar is wel geobfusceerd. Dat moet detectie door virusscanners voorkomen. Hoe gebruikers besmet raken is nog niet precies bekend. Het lage aantal infecties en de backdoor-functionaliteit tonen volgens Raiu dat het waarschijnlijk om gerichte aanvallen gaat. Volgens sommige meldingen zijn de aanvallen via e-mails uitgevoerd, waar in de berichten een link naar een website stond vermeld.

Een ander belangrijk detail is dat de backdoor met debug-gegevens is gecompileerd. Dit zorgt ervoor dat anti-virusbedrijven de malware eenvoudiger kunnen analyseren, maar zou ook kunnen betekenen dat de backdoor nog in ontwikkeling is.

Ondanks alle aandacht voor de Flashback Mac-malware de afgelopen weken, blijkt dat de helft van de Mac-gebruikers die zich op flashbackcheck.com liet testen, een verouderde Java-versie draait, aldus Kaspersky Lab hoofdbeveiligingsexpert Aleks Gostev op Twitter.

Reacties (5)
15-04-2012, 09:34 door P5ycH0
Waarom staat er nooit bij hoe je 'besmet' raakt?

Met een vanilla windows install hoef je enkel online te zijn om geinfecteerd met iets te worden.
Hoe zit dat met de malware uit dit artikel? Moet je een pagina bezoeken in een browser? Of met een bepaalde browser?
15-04-2012, 14:10 door Anoniem
Zondagactiviteit; zonnetje, broodje, kop koffie, artikeltjes browsen ("drive" , "java" , ...,)

"Mac-botnet doet Windows-malware verbleken (Interview)
07-04-2012
...
De malware verspreidt zich via verschillende beveiligingslekken in Java en vereist geen wachtwoord om zich op de Mac-computer te installeren. Het bezoeken van een gehackte website met een kwetsbare Java-versie is voldoende om met de malware besmet te raken.
... "

"Tibetaanse Mac-gebruikers besmet via Java-malware
21-03-2012
...
De e-mail wijst vervolgens naar een link waar de ontvanger de eerdere e-mails van de aanvallers kan bekijken. Op deze website wacht een drive-by download die een Java-lek uit oktober vorig jaar gebruikt.

De Windows-malware die de aanvallers proberen te installeren werden door 5 en 9 van de 43 virusscanners op de VirusTotal.com gedetecteerd. De Mac OS X backdoor werd door geen enkele scanner herkend. ... "

Check je java versie (mocht die nog aanstaan) op bijv
: http://javatester.org/version.html

Ook schitterend (als je wil weten wat je browser aan info over je systeem rondstrooit tijdens het browsen, zoiets als "hey! malwaremaker , ik heb een oude java versie aanstaan en ook een oude flash!")
kan je naar aanleiding daarvan nog eens je instellingen bekijken of je config veranderen.
: http://browserspy.dk/

Als Safari en Firefox nu het Target zijn kan je ook eens kijken naar een andere browser voor erbij, doet het prima (een soort Safari) en heeft prettige goede instellingen omtrent het blocken / filteren van content van andere servers (die je met een click kunt opheffen).
Omniweb : http://www.omnigroup.com/products/omniweb/
15-04-2012, 22:34 door [Account Verwijderd]
[Verwijderd]
16-04-2012, 11:58 door Anoniem
In Safari Java uitzetten (Safari -> voorkeuren -> Beveiliging) en in Firefox Noscript. Hierdoor is het niet nodig om die Chrome spyware te gebruiken. Voel me door het gebruik van Firefox/Noscript op deze manier veilig genoeg en gebruik daarom (nog) geen antivirus software.
17-04-2012, 10:40 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.