image

Nederlandse server bestuurt onbekende Mac-backdoor *update*

donderdag 16 mei 2013, 15:21 door Redactie, 2 reacties

Tijdens conferentie over mensenrechten is er op een Mac van een Afrikaanse activist een onbekende backdoor aangetroffen die via een Nederlandse server wordt bestuurd. Het gaat om het Oslo Freedom Forum, een jaarlijks evenement dat van 13 tot 15 mei plaatsvond. Beveiligingsonderzoeker Jacob Appelbaum gaf een workshop hoe activisten hun apparaten kunnen beveiligen.

Tijdens de workshop ontdekte Appelbaum een nieuwe en voorheen onbekende backdoor op de Mac van een Afrikaanse activist. De malware is gesigneerd met een legitiem Apple Developer ID, zo ontdekte het Finse anti-virusbedrijf F-Secure. De in Mac ingebouwde Gatekeeper controleert of apps met een geldig Developer ID certificaat zijn, zodat gebruikers weten dat het geen malware is.

Screenshots
De backdoor maakt onder andere screenshots die het in een directory genaamd 'MacApp' plaatst. De malware die werd aangetroffen wordt via twee Command & Control (C&C)-servers aangestuurd, die communiceren via de domeinen securitytable.org en docsforum.info.

Eén van de servers heeft een IP-adres van de Nederlandse hostingprovider Netrouting. De andere C&C-server is bij een Frans bedrijf ondergebracht, aldus F-Secure. Hoe de malware zich verspreidt is nog onbekend.

Update vrijdag 17 mei 15:35
Appelbaum laat vandaag via Twitter weten dat de Angolese activist via een spear phishingaanval is gehackt. Hierbij wordt een op maat gemaakte e-mail gebruikt, voorzien van een kwaadaardige link of bijlage.

Reacties (2)
16-05-2013, 16:00 door tarunjj
Is bekend met welke app deze malware werd geïnstalleerd?
16-05-2013, 16:23 door Whacko
Door tarunjj: Is bekend met welke app deze malware werd geïnstalleerd?
Het meest waarschijnlijke is een Java exploit. aangezien dat op alle OS-en zo lek is als een mandje.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.