Nieuws

600.000 Macs besmet met Trojaans paard

donderdag 5 april 2012, 10:16 door Redactie, 21 reacties

Het Trojaanse paard dat zich via een lek in Java verspreidt heeft meer dan 600.000 Macs geïnfecteerd. Dat meldt Sorokin Ivan het Russische anti-virusbedrijf DrWeb op Twitter. Het gaat om de Flashback Trojan die al geruime tijd actief is. De bende achter de malware begon een aantal maanden geleden met het misbruiken van Java-lekken die Mac-gebruikers niet gepatcht hadden. Vanaf 16 maart werd er echter een lek gebruikt waarvoor Apple nog geen update had uitgebracht. Deze kwetsbaarheid werd door Oracle, eigenaar van Java, halverwege februari gepatcht. Apple wachtte zeven weken en kwam op 3 april met de noodzakelijke patch.

Om Mac-computers waarop Java is geïnstalleerd te infecteren, worden websites gehackt en voorzien van exploit-code. Deze exploit-code controleert de Java-versie en misbruikt vervolgens een lek als dat aanwezig is. Via dat lek wordt de Flashback Trojan geïnstalleerd. Daarbij wordt er niet om een wachtwoord gevraagd, wat betekent dat de malware zich geruisloos op de computer nestelt.

Infecties
Java-applets waardoor de malware zich verspreidt, hebben niet te maken met Mac OS X's quarantaine systeem. Dat betekent dat Mac-gebruikers geen waarschuwingsvenster krijgen als een Java-applet als object van een webpagina wordt gedownload. Hierdoor weet de malware ook Apple's ingebouwde virusscanner Xprotect te omzeilen, aangezien die geen objecten in webpagina's scant. De exploitcode die Mac-gebruikers infecteert zou op meer dan vier miljoen gehackte webpagina's zijn aangetroffen.

De meeste besmette Macs bevinden zich in de Verenigde Staten, waarbij er 274 bots in Cupertino zijn gelokaliseerd. De stad waar het Apple hoofdkantoor zich bevindt. In eerste instantie rapporteerde DrWeb dat er 550.000 machines besmet waren, waarvan 0,2% zich in Nederland bevinden, wat op 1.100 machines uitkomt.

Update 10:20
Hoewel er twijfels over de cijfers van DrWeb zijn, is het belangrijkste volgens beveiligingsexpert Adrian Sanabria dat Mac-gebruikers met een vals gevoel van veiligheid zijn opgezadeld. "Apple's marketing is tenminste deels hiervoor verantwoordelijk." F-Secure heeft op deze pagina instructies staan hoe de malware te verwijderen is.

Update 15:13
Er schijnt verwarring over de functie van de malware te zijn. Volgens Ivan is het de Flashback Trojan niet te doen om het stelen van wachtwoorden, zoals beveiligingsbedrijf Intego beweert, maar is de malware ontwikkeld om zoekverkeer te kapen.

Update 16:26
De Flashback Trojan gebruikt het MAC-adres van besmette computers als user-agent als er met de Command & Control-server verbinding wordt gemaakt. Naar alle waarschijnlijkheid heeft Dr.Web deze adressen geteld. "De cijfers lijken echt", aldus Mikko Hypponen van het Finse F-Secure. Volgens de Fin zijn er zo'n 45 miljoen Macs in omloop, wat betekent dat 1,3% van de totale Mac-populatie is geïnfecteerd.

Energieleverancier kwetsbaar door zwakke wachtwoorden

Cybercriminelen zoeken Nederlandse katvangers

Reacties (21)

05-04-2012, 10:20 door SirDice

Het Trojaanse paard dat zich via een lek in Java verspreidt heeft meer dan 600.000 Macs geïnfecteerd.

Waardoor nu pijnlijk duidelijk wordt dat OS-X helemaal niet zoveel "veiliger" is dan Windows. Hetzelfde type mensen zit namelijk achter het toetsenbord.

05-04-2012, 10:28 door Anoniem

Ga gewoon (ok het is cliché) van het standpunt uit dat er geen enkel OS veilig is maar dat men het wel iets veiliger kan maken met alle mogelijke toeters en bellen en een goede configuratie en er met gezond verstand mee om te gaan.

05-04-2012, 10:47 door Anoniem

Euh 1 virus tegenover 600.000+ voor Windows
Euh hoezo niet zoveel veiliger.
Euh bij mac maar een deur bij windows ontelbaar.

Droom lekker verder zou ik zeggen, en ojaah by 2way ik hoor niets over Linux want daar is mac OS-X op gebaseerd !
Ojaa dass opensource dat wordt dan maar uit het nieuws gehouden ?

05-04-2012, 10:56 door Anoniem

Het probleem valt nog te overzien, zeker omdat sinds OSX 10.7 Java standaard niet meer wordt geïnstalleerd. Pas wanneer het nodig is (bijvoorbeeld voor LibreOffice) wordt het wel gedownload en geïnstalleerd. Ik vermoed daarom ook dat veel OSX users geen Java op hun machine hebben staan.

05-04-2012, 11:22 door Anoniem

@10:47: Onzin, OSX heeft nog wel het meest weg van BSD, maar het heeft zeker niks met Linux te maken. Wel worden sommige OSS onderdelen ook in OSX gebruikt, maar dat zegt op zich nog niks over het onderliggende systeem.

05-04-2012, 11:23 door SirDice

Door Anoniem: Euh 1 virus tegenover 600.000+ voor Windows
Euh hoezo niet zoveel veiliger.

De hoeveelheid malware zegt niets over de veiligheid van het OS waar ze op moeten draaien. Het zegt alleen maar iets over de populariteit van een OS.

Euh bij mac maar een deur bij windows ontelbaar.

Waarmee je duidelijk aangeeft van beide OS'en niets af te weten.

ik hoor niets over Linux want daar is mac OS-X op gebaseerd !

Fout. OS-X heeft een MACH micro-kernel met wat delen van FreeBSD daaraan toegevoegd. FreeBSD is absoluut geen Linux (of daarop gebaseerd). Ergo, je weet totaal niet waar je het over hebt.

05-04-2012, 11:36 door Anoniem

In mijn geval bood het gratis Sophos uitkomst. Ook op je MAC gewoon AV gebruiken.

http://nakedsecurity.sophos.com/2011/09/28/flashbackmac-backdoor-trojan/

05-04-2012, 11:39 door SirDice

Door Anoniem: Het probleem valt nog te overzien, zeker omdat sinds OSX 10.7 Java standaard niet meer wordt geïnstalleerd. Pas wanneer het nodig is (bijvoorbeeld voor LibreOffice) wordt het wel gedownload en geïnstalleerd. Ik vermoed daarom ook dat veel OSX users geen Java op hun machine hebben staan.

Ik vrees het ergste eigenlijk. De meeste OS-X gebruikers willen of kunnen, om onduidelijke redenen, niet upgraden. Patches worden ook niet altijd geinstalleerd wanneer ze beschikbaar zijn. Het, misplaatste, argument is meestal dezelfde, een Mac kan toch niet geïnfecteerd worden. De reactie van die andere anoniem is zo'n beetje de standaard reactie.

05-04-2012, 11:43 door Anoniem

@SirDice: De Javaupdates komen op OSX binnen via het standaard updatevenster. Vrijwel alle gebruikers die ik ken updaten wat daarin voorbij komt, en daar zal deze Java update ook tussen staan.

05-04-2012, 11:45 door Anoniem

Door Anoniem: Euh 1 virus tegenover 600.000+ voor Windows
Euh hoezo niet zoveel veiliger.
Euh bij mac maar een deur bij windows ontelbaar.

Droom lekker verder zou ik zeggen, en ojaah by 2way ik hoor niets over Linux want daar is mac OS-X op gebaseerd !
Ojaa dass opensource dat wordt dan maar uit het nieuws gehouden ?

Mac OS X op Linux gebaseerd? ROFL. Het is gebaseerd op FreeBSD en NetBSD.

05-04-2012, 12:04 door Markcortbass

@ Anoniem
Mac OS-X gebaseerd op Linux. Absoluut niet!
gesloten software
Mac OS-X en Linux zijn beide gabaseerd op Unix. Linux en Mac OS-X zijn zeker verschillend.

Mac-OSX is closed source. Net zoals Windows. Linux is inderdaad opensource, daarmee kunnen andere bedrijven en individuen meekijken naar eventuele lekken in de software.

05-04-2012, 12:10 door Anoniem

"De meeste OS-X gebruikers willen of kunnen, om onduidelijke redenen, niet upgraden."

Duidelijke reden : plm. 17 % van de Mac systemen wordt niet meer ondersteund (10.5.8 Leopard, 10.4 Tiger, en veel nieuwer dan XP) door Apple zelf, waardoor ook andere fabrikanten een makkelijk excuus hebben dat ook niet te doen (Firefox bijvoorbeeld).

Java onder Lion; loop eens een echte Mac winkel binnen en kijk voor de lol eens op wat willekeurige systemen of Java onder Lion is geïnstalleerd, je zult versteld staan!

05-04-2012, 12:14 door Duck-man

En het is zo simpel.
Niet als root (admin) werken en zeker niet als je online bent. Ik verbaas mij er over dan echt veel MAC gebruikers dit niet doen. Zelfs Windows begint dit te snappen. En in Linux is dit standaard. Misschien is dat de reden dat je niks over linux besmetting hoort? In BSD werk je volgens mij ook niet standaard als root (toch Dice?).
En ja updaten.
@Mark
Mac-OS draait op freeBSD en BSD is ook opensource.
Alleen is de BSD licentie anders dan de GNU (linux) licentie. Daardoor kan apple dit commercieel toepassen. Toch kan ook een OS met een linux kernel closesource worden kijk maar naar android.

05-04-2012, 12:21 door Anoniem

Door Markcortbass: @ Anoniem
Mac OS-X gebaseerd op Linux. Absoluut niet!
gesloten software
Mac OS-X en Linux zijn beide gabaseerd op Unix. Linux en Mac OS-X zijn zeker verschillend.

Mac-OSX is closed source. Net zoals Windows. Linux is inderdaad opensource, daarmee kunnen andere bedrijven en individuen meekijken naar eventuele lekken in de software.

Ten eerste heb je helemaal gelijk OSX en Linux zijn gebasseerd op Unix, maar Mac OS X is niet closed source in tegendeel het is open source zie: http://opensource.apple.com/

05-04-2012, 12:23 door Anoniem

Door Duck-man: En het is zo simpel.
Niet als root (admin) werken en zeker niet als je online bent. Ik verbaas mij er over dan echt veel MAC gebruikers dit niet doen. Zelfs Windows begint dit te snappen. En in Linux is dit standaard. Misschien is dat de reden dat je niks over linux besmetting hoort? In BSD werk je volgens mij ook niet standaard als root (toch Dice?).

Onder Mac OS X werk je ook niet als root, de admin is wat anders dan de root account deze moet je apart aanzetten om de root toegang te krijgen.

05-04-2012, 12:35 door N4ppy

Door Markcortbass: @ Anoniem
.....daarmee kunnen andere bedrijven en individuen meekijken naar eventuele lekken in de software.

Met de nadruk op KUNNEN. Dit zegt niets over het feit of men het ook DOET en ook niets of men het daarwerkelijk KAN

Lees deze post eens en kijk of je het begrijpt
https://plus.google.com/102150693225130002912/posts/7bKRjV92snH

Download eens de source http://www.truecrypt.org/downloads2 van truecrypt (C, C++ and assembly) en kijk wat je er van kunt maken.

ot: er valt genoeg te halen dus ze gaan het proberen. Mac gebruikers hebben meer geld te besteden dus is de moeite ondanks het feit dat er minder ingangen zijn.

05-04-2012, 13:35 door SirDice

Door Anoniem:

Onder Mac OS X werk je ook niet als root, de admin is wat anders dan de root account deze moet je apart aanzetten om de root toegang te krijgen.

Is ook niet relevant aangezien malware net zo effectief is als het onder een 'normaal' gebruikers-account draait. Dat er voor een hoop windows malware administrator rechten nodig zijn zegt meer over de makers van de malware dan over het OS waar het op zou moeten draaien. Het enige verschil is dat malware wat op een gebruikers-account draait meestal makkelijker te verwijderen is en een beperkte, lokale, 'reikwijdte' heeft.

05-04-2012, 19:23 door Bitwiper

Prima write-up: http://www.f-secure.com/v-descs/trojan-downloader_osx_flashback_i.shtml

Als de gebruiker geen admin wachtwoord invoert en indien geen van een viertal -mogelijk incompatible- applicaties op de Mac staat:

The malware then creates a launch point by creating "~/.MacOSX/environment.plist", containing the following lines:

<key>DYLD_INSERT_LIBRARIES</key>
<string>/Users/Shared/.libgmalloc.dylib</string>

This in effect will inject binary2 into every application launched by the infected user.

Oftewel de aanvaller kan elk programma, gestart door de gebruiker, naar wens manipuleren.

05-04-2012, 21:51 door [Account Verwijderd]

[Verwijderd]

05-04-2012, 23:06 door Anoniem

Door LinuxGebruiker:

Door SirDice:

Het Trojaanse paard dat zich via een lek in Java verspreidt heeft meer dan 600.000 Macs geïnfecteerd.

Waardoor nu pijnlijk duidelijk wordt dat OS-X helemaal niet zoveel "veiliger" is dan Windows. Hetzelfde type mensen zit namelijk achter het toetsenbord.

java is de schuldige, niet os-x

Het feit dat een Trojan/malware zich kan installeren via een lek in andere software is alsnog ook een fout in het OS; simpele software als JAVA moet helemaal dat soort rechten niet hebben.

06-04-2012, 22:42 door Cybercrimepreventie.com

Er bestaat geen veilige software, geen veilig OS, Appl, Firmware, etc, etc.

Maar het feit dat apple nog steeds zegt dat ze immuun zijn voor virussen en malware is wel zorgwekkend. Dit tezamen met de lakse houding van Apple mbt het uitbrengen van updates en informatie vormt een groot beveiligingsrisico.

Het gaat allemaal om marktaandeel. Hoe groter het aandeel, hoe groter de kans op misbruik.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer