Trojaans paard voor Mac OS X vermomt zich als foto
Een nieuw Trojaans paard voor Mac OS X dat onder andere een afbeelding van het Syrian Electronic Army downloadt, doet zich voor als een foto. De malware die bij tenminste één Mac-gebruiker werd aangetroffen, wordt waarschijnlijk via gerichte aanvallen verspreid.
Het exacte verspreidingsmechanisme is echter onbekend. Het Trojaanse paard is een applicatie die zich als een foto vermomt. De .app extensie die aangeeft dat het om een applicatie gaat staat standaard in Mac OS X uitgeschakeld. In sommige gevallen zal Gatekeeper, de beveiliging van Apple om kwaadaardige apps te weren, een waarschuwing geven als de app bijvoorbeeld via het internet is gedownload.
Backdoor
In het geval de kwaadaardige app direct op een USB-stick is gezet, zal deze waarschuwing niet verschijnen, aldus Mac-beveiliger Intego. Als de gebruiker de kwaadaardige app opent, krijgt die een afbeelding te zien, terwijl het Trojaanse paard zich in de achtergrond installeert en een permanente backdoor opent.
De malware stuurt allerlei informatie over het systeem naar de Command & Control-server van de aanvallers. Daarnaast wordt er een afbeelding van het Syrian Electronic Army gedownload. Het is echter onbekend of de Trojan door deze groep van hacktivisten is ontwikkeld en of de malware tegen Syrische activisten of organisaties is ingezet.
Dit is wederom in variatie een Combinatie van :
- 'Verbergen' van èchte File Extensie
- Misleiding door gebruik andersoortig File-Icoon (je kan ook eenvoudig een Folder Icoon op een Fotofile zetten bijvoorbeeld)
- Misleiding door Bestandsnaam, het lijkt een Nikon Camera foto bestand maar is een App(lication), (ben benieuwd naar de Metadata van het ingesloten foto-file-icoon)
- Misbruik schrijfrechten van Lokale User op Shared Folder en de Lokale LaunchAgents Folder
- Misbruik Startup of Launch Items
Tegen dit soort aanvallen misleidingen kan je nog wel eenvoudig wat zelf doen :
- Opletten!
Kijk anders eerst onder file-Info van het betreffende file voordat je het opent; activeer file door het één keer aan te klikken / te selecteren en druk dan gelijktijdig de "cmd-toets i-toets" in.
- Extensie Weergave aanzetten in Finder Voorkeuren
- Niet standaard werken onder Admin Account
- (File / Folder) Sharing opties in Systeem Voorkeuren doornemen
- Permissies Wijzigen op je Shared Folder en Lokale LaunchAgents folder naar alleen Leesrechten voor "EveryOne" of alléén Leesrechten voor de Lokale User zelf (alléén op de folder toepassen en Niet op de ingesloten onderdelen)
Consequentie is wel dat voor het plaatsen van files (of wijzigingen) in de Shared folder of LaunchAgents folder een admin wachtwoord dient te worden opgegeven *
- Login Items van je Account wijzigen / doornemen onder Systeem Voorkeuren
- Firewall Instellen, Extra Firewall overwegen, Specifieke Poortblocking of Programma Whitelisting toepassen
- Antiviussoftware installeren
- Eventueel een Waarschuwingsscript voor wijzigingen zetten met Script Utility op belangrijke folders
* Pas op met Permissie Wijzigingen!
Pas ze niet toe op mappen voordat je weet of dat grote (negatieve) consequenties heeft.
Als je niet weet wat je aan het doen bent activeer dan sowieso nooit de optie" toepassen op ingesloten onderdelen".
Schrijf wijzigingen die je maakt op zodat je het later ook weer ongedaan kan maken.
Pas niet zomaar Permissie Wijzigingen toe op een Harddisk, Systeemmap, Programmamap, of andere Systeem Libraries of User Account Libraries, voordat je het weet start je systeem niet meer op of kan je niet meer inloggen.
! Problematische Permissie Wijzigingen worden niet zonder meer eenvoudig hersteld met gebruik van Disk Utility.
Eventuele Big Trouble gegarandeerd als je loopt te 'klooien' met permissies !!!
;-(
Voor wie interesse heeft in een nadere uitleg,
vraag maar / laat maar weten.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
