image

Mac-malware luistert gebruikers af via microfoon

maandag 15 juli 2013, 15:02 door Redactie, 3 reacties

Een truc die cybercriminelen gebruiken om Windows-gebruikers met malware te infecteren wordt nu ook ingezet voor het afluisteren van Mac-gebruikers. Het gaat om RTLO, wat staat voor Right-to-Left-Override, en ervoor zorgt dat via een speciaal unicode karakter de volgorde van karakters van een bestandsnaam kan worden omgedraaid. Het wordt vooral gebruikt voor Arabische teksten.

Het is echter ook populair bij het uitvoeren van gerichte aanvallen, waarbij aanvallers vertrouwelijke netwerken proberen te infiltreren. Windows-gebruikers kunnen zich tegen de RTLO-truc wapenen door het instellen van Detailweergave.

Microfoon
Afgelopen vrijdag werd er Mac-malware ontdekt dat RTLO toepast om de echte extensie te verbergen. Mac OS X toont ondanks het gebruik van RTLO toch de echte extensie. Door het gebruik van RTLO is de standaard bestandswaarschuwing wel omgedraaid. Als de gebruiker het bestand opent, wordt er een onschuldig document getoond om het slachtoffer niets te laten vermoeden.

Eenmaal actief maakt de malware continu screenshots en neemt al het geluid via de microfoon op, via een programma genaamd SoX. Deze bestanden worden vervolgens naar een server gestuurd, zo meldt het Finse anti-virusbedrijf F-Secure.

Om ervoor te zorgen dat gebruikers het bestand kunnen openen is het van een legitiem Apple Developer ID voorzien. Net als bij eerder ontdekte Mac-malware het geval was.

Reacties (3)
15-07-2013, 17:05 door Anoniem
Weer een mooi voorbeeld van "Waar een (gebruikers) wil is is een weg"

Allereerst betreft het file een zip file "file.zip" dat je moet downloaden en eerst uitpakken?
Het voorbeeld dat f-secure geeft betreft 'pdf' bestanden (al uitgepakt?) en geen zip.

Niet duidelijk is of het uitpakken van het zip file direct al leidt tot uitvoer van de malware.
Dan zou namelijk het file zelf geen zip file maar een applicatie betreffen.
En dien je Sox al te hebben voorgeïnstalleerd?


Voor 'de paar' Mac lezers / gebruikers (bij geen interesse of voorliefde voor peren, skip dan ook je min-klik-behoefte) :

Voorzorgsmaatregelen die je allang had genomen

- Finder extensie weergave aan
- Auto open downloads in je browser uit
- Show status bar aan in Safari, kan je link informatie zien bij links en de naam van het download file
- Werken onder een "Standaard" (!!) account, installatie van een app vraagt dan altijd om een wachtwoord van de beheerder, mocht je nog niet gewaarschuwd zijn door een tekst in spiegelbeeld,...
- In het Security & Privacy voorkeuren paneel kan je kiezen voor verschillende opties als het gaat om uitvoer van gedownloade applications; 1 app store alleen, app 2 store en identified developers, 3 anywhere.
Zet het nou gewoon eens op alleen de app store voor de veiligheid. Wanneer je bewust iets ander wil installeren dat niet komt uit de app store kies je een andere optie, kleine moeite bij de keren dat je iets moet installeren.

- Voorvertoning programma als standaard pdf viewer instellen (al maakt dat in dit geval niet uit)
- Java in de browser uit (al maakt dat in dit geval niet uit) omdat java scripts weer python kunnen activeren (flashback virus 2011/2012)
- Waarschuwingsscript met script utility zetten op je downloads directory, krijg je een melding als er ineens iets is gedownload (i.g.v. een drive by download bijvoorbeeld)


Firewall, portblocking of whitelisten

- Over welke poort communiceert het met de c&c? Dat wordt vrijwel altijd fijntjes geheim gehouden door de 'waarschuwende' 'analysevrienden'.
Want je kan het virus hebben maar als je bijv. de 'juiste poorten' (remote access, 22, .. ..?) hebt geblokkeerd met je extra firewall software kan het virus in ieder geval de files niet verzenden (dat scheelt ook).

Simpelste oplossing in dit geval had kunnen zijn een firewall gebaseerd op een applicatie whitelist, dat zou uitgaande communicatie sowieso geblokkeerd worden.


Eigen routine

- Downloads eerst scannen met je virusscanner (die je natuurlijk hebt)
- Inhoud van een zip kan je zien met selecteren (1x klikken) en op de space bar drukken (zwart voorvertoning veld met bestanden lijst)


Na uitpakken van een zip

- Een dubbele extensie moet toch een beetje opvallen ; wat is dat ".ppa.pdf" of ".pdf.app" ?
Selecteer het file eens (1x klikken) en vraag meer info op met "cmd (toets) i (toets)" . Staat er bij informatie toevallig application of programma? Tringggg?!

En als dat geen uitsluitsel geeft kan je het file ook selecteren met de ctrl toets ingedrukt ; wanneer er een mogelijkheid in het pop-menu te zien is als "show package contents" of "geef pakketinhoud weer" weet je dat het om een applicatie gaat of om een container van bestanden (rtfd tekstfile met mediabestanden erin kan ook), geen pdf file dus.


Gezond verstand

- Waarom een paar pdf's als zip downloaden?, dat komt ook weer niet zoveel voor (wees dus alert als dat wel ineens het geval is).
- Hoe algemener de naam hoe meer ik het zou wantrouwen ( file.zip ?? RecentNews.pdf.app??)
- Is het lezen van teksten (of eigenlijk alleen woorden en geen zinnen) in spiegelbeeld je hobby en zou je iets anders aanklikken dan cancelen?

- Aan het internetten en ineens voor langere tijd de kleurige cursor ball of death in beeld? Geen gek idee om dan eerst spoedig eens de internetconnectie te verbreken.


Toch nog besmet? What were you thinking or doing?
15-07-2013, 20:16 door Anoniem
Ik zie het probleem niet. Het is een file/applicatie die gedownload is van het lokale netwerk. Als er dan wat fout ging, is dat al eerder gebeurd bij het binnenhalen van de file in het eigen netwerk.

En hoezo een onschuldig ogende waarschuwing? Het is een veiligheidswaarschuwing aan het icoontje te zien. En als de waarschuwingstekst ook nog onleesbaar is, moeit je wel heel naïef zijn om verder te gaan.
16-07-2013, 08:01 door steve sh1t
Als je van die kekke MAC-hipsters gaat afluisteren, moet je wel een heel saai leven hebben.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.