Gevaarlijke Mac-malware verspreidt zich via Java-lek
Mac-gebruikers die hun Java nog niet hebben bijgewerkt krijgen het dringende advies dit zo snel als mogelijk te doen, er is namelijk gevaarlijke nieuwe malware ontdekt die zich via Java verspreidt. Het gaat om de SabPub-backdoor die mogelijk voor gerichte aanvallen ontworpen is. Eenmaal actief maakt de backdoor verbinding met een Command & Control-server en wacht op verdere instructies. De malware kan screenshots van de huidige sessie maken en commando's op de geïnfecteerde computer uitvoeren.
Aan de hand van de 'timestamps' van de Java dropper waardoor de malware zich verspreidt, zou de backdoor op 16 maart gemaakt zijn. De dropper zou voor het eerst op 12 april naar de ThreatExpert website zijn gestuurd. Eén van de onderdelen van de dropper werd op 2 april op VirusTotal getest. In beide gevallen werd het bestand vanaf een Chinese computer verstuurd. Mogelijk is dit door de malwaremakers gedaan om te controleren of hun creatie door virusscanners zou worden gedetecteerd.
Gerichte aanval
De Java-exploit die de aanvallers gebruiken is volgens Costin Raiu van Kasperksy Lab vrij standaard, maar is wel geobfusceerd. Dat moet detectie door virusscanners voorkomen. Hoe gebruikers besmet raken is nog niet precies bekend. Het lage aantal infecties en de backdoor-functionaliteit tonen volgens Raiu dat het waarschijnlijk om gerichte aanvallen gaat. Volgens sommige meldingen zijn de aanvallen via e-mails uitgevoerd, waar in de berichten een link naar een website stond vermeld.
Een ander belangrijk detail is dat de backdoor met debug-gegevens is gecompileerd. Dit zorgt ervoor dat anti-virusbedrijven de malware eenvoudiger kunnen analyseren, maar zou ook kunnen betekenen dat de backdoor nog in ontwikkeling is.
Ondanks alle aandacht voor de Flashback Mac-malware de afgelopen weken, blijkt dat de helft van de Mac-gebruikers die zich op flashbackcheck.com liet testen, een verouderde Java-versie draait, aldus Kaspersky Lab hoofdbeveiligingsexpert Aleks Gostev op Twitter.
Met een vanilla windows install hoef je enkel online te zijn om geinfecteerd met iets te worden.
Hoe zit dat met de malware uit dit artikel? Moet je een pagina bezoeken in een browser? Of met een bepaalde browser?
"Mac-botnet doet Windows-malware verbleken (Interview)
07-04-2012
...
De malware verspreidt zich via verschillende beveiligingslekken in Java en vereist geen wachtwoord om zich op de Mac-computer te installeren. Het bezoeken van een gehackte website met een kwetsbare Java-versie is voldoende om met de malware besmet te raken.
... "
"Tibetaanse Mac-gebruikers besmet via Java-malware
21-03-2012
...
De e-mail wijst vervolgens naar een link waar de ontvanger de eerdere e-mails van de aanvallers kan bekijken. Op deze website wacht een drive-by download die een Java-lek uit oktober vorig jaar gebruikt.
De Windows-malware die de aanvallers proberen te installeren werden door 5 en 9 van de 43 virusscanners op de VirusTotal.com gedetecteerd. De Mac OS X backdoor werd door geen enkele scanner herkend. ... "
Check je java versie (mocht die nog aanstaan) op bijv
: http://javatester.org/version.html
Ook schitterend (als je wil weten wat je browser aan info over je systeem rondstrooit tijdens het browsen, zoiets als "hey! malwaremaker , ik heb een oude java versie aanstaan en ook een oude flash!")
kan je naar aanleiding daarvan nog eens je instellingen bekijken of je config veranderen.
: http://browserspy.dk/
Als Safari en Firefox nu het Target zijn kan je ook eens kijken naar een andere browser voor erbij, doet het prima (een soort Safari) en heeft prettige goede instellingen omtrent het blocken / filteren van content van andere servers (die je met een click kunt opheffen).
Omniweb : http://www.omnigroup.com/products/omniweb/
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
