image

Apple-fans gewaarschuwd voor 'Kumar in de Mac'

woensdag 22 mei 2013, 16:31 door Redactie, 6 reacties

Na 'Man in de Middle', 'Man in de Browser' en zelfs 'Boy in de Browser' is er nu een nieuwe dreiging waar Apple-fans rekening mee moeten houden, namelijk 'Kumar in de Mac'. Dit verwijst naar de recent ontdekte Mac-spyware genaamd 'Filesteal' en 'Hackback', die met een geldig Apple Developer ID was gesigneerd. De malware werd ontdekt op de Mac van een Angolese activist.

Die deed mee aan een workshop over het beveiligen van zijn computer. De malware maakt screenshots van de desktop en stuurt die naar een remote server. Vandaag werd bekend dat een andere variant van de spyware zich als kerstkaart voordoet.

Gatekeeper
Beide varianten zijn voorzien van een Apple Developer ID dat aan 'Rajinder Kumar' was toegekend. De Gatekeeper-beveiliging in Mac OS X Mountain Lion en Mac OS X Lion, die bepaalt welke programma's mogen worden uitgevoerd, staat standaard zo ingesteld dat applicaties van de Mac App Store en geïdentificeerde ontwikkelaars worden toegestaan.


Mac-gebruikers die niet actief software installeren krijgen van Sean Sullivan van het Finse F-Secure het advies om de standaardinstelling te wijzigen, zodat alleen apps van de App Store toestemming krijgen.


Inmiddels heeft Apple het Developer ID van Kumar ingetrokken, maar met het aanpassen van de instelling zou de malware niet zijn uitgevoerd toen het Developer ID nog wel geldig was. Volgens het Noorse anti-virusbedrijf Norman is de malware door een groep Indiase cyberspionnen ontwikkeld.

Reacties (6)
22-05-2013, 16:48 door Anoniem
Hoe kom je er nu achter of meneer Kumar in je Mac aanwezig is?
En indien deze aanwezig is hoe haal je 'hem' er dan uit?
En aangezien de echte meneer Kumar ook echt (niet malware) apps heeft ontwikkeld, hoe herken je wat echt is en wat niet?
22-05-2013, 19:29 door Anoniem
1) Of : "Apple-Fans"* gewaarschuwd voor aandacht-vragend nieuws van virusbedrij-F

Bijvoorbeeld :
www.security.nl/artikel/45338/1/Virusscanner_had_Microsoft_en_Apple_kunnen_redden.html
(Niets meer van gehoord overigens en Apple bestaat ook zonder de scanner-hulp nog).

Standaard best practice tips dan maar :
in de reacties onder dat artikel nog wat veiligheidstips te vinden over 'toevallig' ook het openen van verborgen apps in bijvoorbeeld zip bestanden.
Echt weinig nieuws (ja het id en dat is niet uitgewerkt), is dit een vermelding virus waardig?
Hoog social engineering gehalte : kerstkaartjes / modellen / hele riedel al in zips en nieuws daarover voorbij zien komen.

2) Afbeeldingen goed bekeken op de site van betreffend virusbedrijf? :
Joe werkt in ieder geval onder het Admin account, Current User is een Admin user. Om zeker te weten dat infectie van de Mac dan zou slagen?
Of is werken onder een standaard account te -(secure)?

3) Na drie (!) berichten over een verpakt zipje had ik wel gehoopt dat de analyse wat meer om het lijf had gehad.
Interessanter is het het app-je zelf (package contents) verder te analyseren :

- was het niet mogelijk de gebruikers zelf eens te vragen waar hij/zij de app vandaan had en al dan niet bewust geïnstalleerd?
- van wie is dat developer id dan? Zoekresultaten geven wel een naamvariatie Rajendra i.p.v. Rajindra (schept ook verwarring bij journalisten die erover schrijven).
- wat is het voor app-je, screenshot app? (die er wat extra vrijwillig bijklust?)
- moet je het zelf installeren? (m.b.v. social engineering?)
- maakt het gebruik van java?
- werkt het ook onder een regulier account met verminderde rechten of vereist het nog steeds actieve toestemming?

- al opgevallen dat het virus elders weer matig intelligent is aangepakt?
De app is gewoon in het lokale user account 'gedropt' ( ~/Users/joe/macs.app ).
Er is niet eens de moeite genomen de MacApp directory in het lokale user account te verbergen (kwestie van een puntje voor de naam, dat staat de Mac-beveiliging echter niet zomaar toe, voorbehouden aan het systeem zelf, dus geïnstalleerd zonder systeem rechten? En zelfs onder het admin account niet kunnen verbergen?).

Vond het nieuws over gehackt Apple/ Facebook etc. stukken interessanter (stil).


* Nuchtere "Mac gebruikers" hebben geen 'fan-label' nodig om dit 'nieuws' van tafel te blazen / zuchten.

.
23-05-2013, 08:11 door Anoniem
Het zijn 'Windows gebruikers' en 'Apple-fans'? Hmmm, ik beschouw mezelf als een Apple gebruiker en niet als fan.
Maar ook ik zou graag antwoorden willen hebben op anonniem@16:48 zijn/haar vragen.
23-05-2013, 09:26 door donnerd
Ik gebruik daarom verstandig genoeg een virusscanner op mijn Macbook Pro.
Ook OS X kan virussen ontvangen.
23-05-2013, 12:38 door Anoniem
Door donnerd: Ik gebruik daarom verstandig genoeg een virusscanner op mijn Macbook Pro.
Ook OS X kan virussen ontvangen.

Leuk voor jou, maar je slaat de plank, in relatie met dit artikel behoorlijk, mis met deze ninja opmerking!
23-05-2013, 15:11 door lucb1e
Ik zou me nu nogal lullig voelen als ik Rajinder Kumar zou heten, zijn hele naam wordt door het slijk gehaald ongeacht of hij er überhaupt iets aan kon doen. Het probleem nicknamen als "Kumar in de Mac" vind ik ook nogal ongepast en behoorlijk stom als we al generieke termen voor het type probleem hebben.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.