image

WireLurker-malware besmet Mac- en iOS-apparaten

donderdag 6 november 2014, 08:33 door Redactie, 4 reacties
Laatst bijgewerkt: 06-11-2014, 13:45

Onderzoekers hebben een nieuwe malware-familie ontdekt die in staat is om zowel Mac-computers als iOS-apparaten te besmetten. WireLurker (PDF), zoals de malware door beveiligingsbedrijf Palo Alto Networks wordt genoemd, gebruikt geïnfecteerde applicaties op een onofficiële app-store in China.

In totaal zou het om 467 getrojaniseerde applicaties in de Maiyadi App Store gaan, zoals The Sims, Pro Evolution Soccer, Bejeweled, Angry Birds en Battlefield: Bad Company, die in totaal 356.000 keer zijn gedownload. Eenmaal actief op een besmette Mac-computer monitort WireLurker iOS-apparaten die via USB worden aangesloten. Zodra het toestel is aangesloten wordt eerst gekeken of het apparaat gejailbreakt is.

Is de iPhone of iPad niet gejailbreakt, dan installeert WireLurker iOS-applicaties die het via verschillende iTunes-protocollen downloadt. Op een gejailbreakt toestel maakt de malware back-ups van specifieke applicaties op het toestel en voorziet zowel deze applicaties als de applicaties die het downloadt van malware. Deze aangepaste iOS-applicaties worden ook via de iTunes-protocollen geïnstalleerd, net zoals bij de niet-gejailbreakte toestellen.

Het gebruik van de USB-verbinding om computers op deze manier aan te vallen is niet nieuw. In juni van dit jaar ontdekte Kaspersky Lab malware die een soortgelijke werkwijze hanteerde. In dit geval ging het om malware voor zowel Windows als Mac OS X die wachtte tot gejailbreakte iOS-toestellen werden aangesloten.

Doel van de malware

WireLurker is in staat om allerlei informatie van besmette mobiele apparaten te stelen, zoals iMessage-berichten en het adresboek, en maakt regelmatig contact met de servers van de malwareschrijvers. Volgens Palo Alto Networks is de malware nog in ontwikkeling en is het uiteindelijke doel onbekend. Dat geldt ook voor het aantal slachtoffers. Harde cijfers ontbreken en het beveiligingsbedrijf denkt dat het mogelijk om honderdduizenden besmette apparaten gaat.

De grootste bevestigde uitbraak op Mac-computers tot nu toe is die van Flashback. Deze malware wist 700.000 Macs te infecteren. Daarnaast maakte Flashback gebruik van een zero day-lek in Java waardoor het zich via drive-by downloads kon verspreiden. Het bezoeken van een gehackte of kwaadaardige website met een Mac was voldoende om besmet te raken. Hoewel eerdere varianten van Flashback social engineering gebruikten om zich te verspreiden, zorgde de verspreiding via het Java-lek ervoor dat er in korte tijd honderdduizenden Macs besmet raakten.

Beschermingsmaatregelen

Om zich tegen WireLurker en soortgelijke aanvallen te beschermen krijgen gebruikers het advies om geen apps van onofficiele App Stores, downloadsites of andere onbetrouwbare bronnen te downloaden, een virusscanner te installeren en alleen de installatie van apps uit de Mac App Store toe te staan. Daarnaast moeten Apple-gebruikers ook hun iOS-toestellen up-to-date te houden en niet op onbetrouwbare of onbekende computers aansluiten. In het geval van een infectie kunnen Mac-gebruikers de betreffende bestanden en applicaties verwijderen.

Image

Reacties (4)
06-11-2014, 12:59 door Anoniem
Flinke pdf aan leesvoer.


@ redactie ; dit klopt volgens mij niet.
De grootste bevestigde uitbraak op Mac-computers tot nu toe is die van Flashback. Deze malware wist 700.000 Macs te infecteren. Daarnaast maakte Flashback gebruik van een lek in Java waardoor het zich automatisch kon verspreiden.
Afhankelijk van wat de redactie bedoelde met zich automatisch verspreiden was Flashback geen virus; een besmette Mac besmette geen andere Mac's of aangesloten devices.

https://securelist.com/analysis/publications/36423/the-anatomy-of-flashfake-part-1/
From September 2011 to February 2012, Flashfake was distributed using social engineering only: visitors to various websites were asked to download a fake Adobe Flash Player update. It meant the Trojan was being distributed as installation archives named "FlashPlayer-11-macos.pkg", "AdobeFlashUpdate.pkg", etc.

+ deel 2
https://securelist.com/analysis/publications/36565/the-anatomy-of-flashfake-part-2/
06-11-2014, 13:54 door MisterAlias
@12:59

According to the Russian antivirus company Dr. Web, a modified version of the "BackDoor.Flashback.39" variant of the Flashback Trojan has infected over 600,000 Mac computers, forming a botnet that includes 274 bots located in Cupertino, California, the location of the headquarters of Apple Inc. The findings were confirmed one day later by another computer security firm, Kaspersky Lab.

The Trojan targets a Java vulnerability on Mac OS X. The system is infected after the user is redirected to a compromised bogus site, where JavaScript code causes an applet containing an exploit to load. An executable file is saved on the local machine, which is used to download and run malicious code from a remote location.

http://en.wikipedia.org/wiki/Trojan_BackDoor.Flashback
06-11-2014, 13:58 door Anoniem
Door MisterAlias: @12:59
?
Welk punt probeer je te maken?
Verklaar je nader met een toelichting svp.
12:59
06-11-2014, 22:15 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.