Een nieuw en geavanceerd Trojaans paard voor Mac OS X had Marokkaanse journalisten als doelwit. Crisis, zoals de malware wordt genoemd, bespioneert het gebruik van Adium, Mozilla Firefox, MSN Messenger voor Mac, luistert Skype-gesprekken af en steelt bestanden. De Trojan zou zich via Java-applets verspreiden, hoewel andere verspreidingsmethoden niet worden uitgesloten.
Arabische lente
Crisis was via VirusTotal verkregen en door nog geen enkel anti-virusbedrijf in het wild gesignaleerd. Nu blijkt dat de naar VirusTotal geüploade bestanden van beveiligingsbedrijf DefensiveLab afkomstig zijn. Ze hadden de bestanden geüpload op verzoek van een klant die met de malware besmet was geraakt.
Die klant blijkt een Marokkaanse journalist te zijn en volgens Mac-beveiliger Intego lijkt het erop dat deze infectie onderdeel van een grotere aanval tegen een groep onafhankelijke Marokkaanse journalisten is. De groep ontving een prijs van Google wegens hun inspanningen tijdens de Arabische lente
E-mail
De journalist ontving tien dagen geleden een e-mail afkomstig van een onbekend Yahoo e-mailadres, waarin de groep over een nieuw schandaal werd geïnformeerd. Het bericht bevatte een link naar een website met een Word document. De website probeerde via het kwaadaardige Java-applet de malware te installeren. Het document in kwestie bevatte een exploit voor een bekend lek in Adobe Flash Player dat gebruikt wordt om een ander DOC-bestand te downloaden. De inhoud van dit bestand is onbekend, aangezien het niet meer te downloaden was.
Opmerkelijk genoeg werkte deze Flash-exploit alleen tegen Windows-systemen. Het lijkt erop dat de aanvallers via de Java-applet Mac-gebruikers wilden infecteren, om vervolgens journalisten met Windows via het Word-bestand te besmetten. Volgens Mikko Hyponnen van het Finse F-Secure wordt de malware actief op deze Italiaanse website aangeboden.
Deze posting is gelocked. Reageren is niet meer mogelijk.