Trojaans paard voor Mac OS X vermomt zich als foto
Een nieuw Trojaans paard voor Mac OS X dat onder andere een afbeelding van het Syrian Electronic Army downloadt, doet zich voor als een foto. De malware die bij tenminste één Mac-gebruiker werd aangetroffen, wordt waarschijnlijk via gerichte aanvallen verspreid.
Het exacte verspreidingsmechanisme is echter onbekend. Het Trojaanse paard is een applicatie die zich als een foto vermomt. De .app extensie die aangeeft dat het om een applicatie gaat staat standaard in Mac OS X uitgeschakeld. In sommige gevallen zal Gatekeeper, de beveiliging van Apple om kwaadaardige apps te weren, een waarschuwing geven als de app bijvoorbeeld via het internet is gedownload.
Backdoor
In het geval de kwaadaardige app direct op een USB-stick is gezet, zal deze waarschuwing niet verschijnen, aldus Mac-beveiliger Intego. Als de gebruiker de kwaadaardige app opent, krijgt die een afbeelding te zien, terwijl het Trojaanse paard zich in de achtergrond installeert en een permanente backdoor opent.
De malware stuurt allerlei informatie over het systeem naar de Command & Control-server van de aanvallers. Daarnaast wordt er een afbeelding van het Syrian Electronic Army gedownload. Het is echter onbekend of de Trojan door deze groep van hacktivisten is ontwikkeld en of de malware tegen Syrische activisten of organisaties is ingezet.
Dit is wederom in variatie een Combinatie van :
- 'Verbergen' van èchte File Extensie
- Misleiding door gebruik andersoortig File-Icoon (je kan ook eenvoudig een Folder Icoon op een Fotofile zetten bijvoorbeeld)
- Misleiding door Bestandsnaam, het lijkt een Nikon Camera foto bestand maar is een App(lication), (ben benieuwd naar de Metadata van het ingesloten foto-file-icoon)
- Misbruik schrijfrechten van Lokale User op Shared Folder en de Lokale LaunchAgents Folder
- Misbruik Startup of Launch Items
Tegen dit soort aanvallen misleidingen kan je nog wel eenvoudig wat zelf doen :
- Opletten!
Kijk anders eerst onder file-Info van het betreffende file voordat je het opent; activeer file door het één keer aan te klikken / te selecteren en druk dan gelijktijdig de "cmd-toets i-toets" in.
- Extensie Weergave aanzetten in Finder Voorkeuren
- Niet standaard werken onder Admin Account
- (File / Folder) Sharing opties in Systeem Voorkeuren doornemen
- Permissies Wijzigen op je Shared Folder en Lokale LaunchAgents folder naar alleen Leesrechten voor "EveryOne" of alléén Leesrechten voor de Lokale User zelf (alléén op de folder toepassen en Niet op de ingesloten onderdelen)
Consequentie is wel dat voor het plaatsen van files (of wijzigingen) in de Shared folder of LaunchAgents folder een admin wachtwoord dient te worden opgegeven *
- Login Items van je Account wijzigen / doornemen onder Systeem Voorkeuren
- Firewall Instellen, Extra Firewall overwegen, Specifieke Poortblocking of Programma Whitelisting toepassen
- Antiviussoftware installeren
- Eventueel een Waarschuwingsscript voor wijzigingen zetten met Script Utility op belangrijke folders
* Pas op met Permissie Wijzigingen!
Pas ze niet toe op mappen voordat je weet of dat grote (negatieve) consequenties heeft.
Als je niet weet wat je aan het doen bent activeer dan sowieso nooit de optie" toepassen op ingesloten onderdelen".
Schrijf wijzigingen die je maakt op zodat je het later ook weer ongedaan kan maken.
Pas niet zomaar Permissie Wijzigingen toe op een Harddisk, Systeemmap, Programmamap, of andere Systeem Libraries of User Account Libraries, voordat je het weet start je systeem niet meer op of kan je niet meer inloggen.
! Problematische Permissie Wijzigingen worden niet zonder meer eenvoudig hersteld met gebruik van Disk Utility.
Eventuele Big Trouble gegarandeerd als je loopt te 'klooien' met permissies !!!
;-(
Voor wie interesse heeft in een nadere uitleg,
vraag maar / laat maar weten.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
