Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Mac Spyware OpinionSpy afgestoft

13-02-2015, 01:51 door Anoniem, 2 reacties
Mac Spyware OpinionSpy afgestoft

Een oude bekende, OSX Opinionspy is voor de vorm afgestoft en in een nieuw jasje gestoken! (*1,2,3).
Opletten dus!

Spyware recycled
Deze spyware wordt opnieuw in de vorm van een video 'hulpje' aangeboden.
Ging het in 2010 om een 'verstopt' extraatje in een flash to mp3 (?) converter "MishInc FLV To Mp3" en een hele reeks aan Mac screensavers (*4).
Nu, 5 jaar later alweer, gaat het wederom om videosoftware, om een programmaatje met de naam Free video Cutter (joiner) van DVDVideoMedia. (*5)
Het videoprogramma wordt op Softpedia aangeboden, wanneer je gaat naar de site van de developer zelf wordt je voor de download ook weer doorverwezen naar Softpedia. (*6)

Opletten met een App installeren : App of een of PKG ?
In tegenstelling tot de meeste app's voor een mac die je als ' 'naam'.app' kan downloaden, en in je programmamap kan zetten (of niet en eerst buiten je programmamap installeren, op je bureaublad bijvoorbeeld om eerst onder je lokale user account te testen) betreft dit een .PKG file. (*7)
Sterker nog, het betreft een PKG file met daarin ook weer een PKG file met nog wat 'extra's.

Met aangeboden software in de vorm van een PKG file is het nogal oppassen!
Wanneer je dit soort files gaat openen start je een installatie proces waarbij er meestal van alles en nog wat overal op je Mac wordt geïnstalleerd.
Een onzichtbaar proces waar je totaal geen zicht op hebt.

Zip en DMG
Bij de meeste aangeboden app's krijg je de app kant en klaar aangeboden, al dan niet verpakt in een zip of disk image/DMG file.
In een DMG of een zip file kan ook al malware zitten, het komt eigenlijk nog niet zo voor maar het kan.
Een Zip file dus ook eerst scannen voordat je hem opent en je virusscanner zo instellen (al dan niet voor het moment) dat het een aangesloten/geopend Disk(image)=.dmg file direct scant.

Wanneer je je gedownloade 'softwareboel' hebt gescand/uitgepakt of het DMG file hebt geopend kan je het '...'.app file bijvoorbeeld eerst naar je bureaublad slepen en het vanuit daar openen om het te testen.
De app heeft op dat moment de rechten van het user account waaronder je werkt (en hopelijk is dat een standaard account en niet je admin account, wie o wie + foei!?) en zal over het algemeen bij openen wat voorkeuren toevoegen in je lokale user library.

Admin password bij openen ?
Wanneer een app bij het openen ervan al meteen gaat vragen en stuiteren om een admin password moeten er bellen gaan rinkelen!
Ho, stop : Waar is dat voor nodig? Past dat eigenlijk en redelijkerwijs bij wel de verwachting van de functie van de app?

PKG file - nadeel
PKG files hebben dat test voordeel van een normale aangeboden app niet, de keuze die je hebt is de PKG-installer te 'runnen' en software code onzichtbaar op je mac weg te laten schrijven zonder dat je ook maar enig idee hebt wat het aan het doen is.
Nog spannender wordt het als voor installatie ook meteen om een admin password wordt gevraagd, dat betekent dat die installer op hoog niveau binnenin het OS X van je Mac wijzigingen wil aanbrengen.

Is dat werkelijk nodig ?
Past dat bij wel de functie van de app?
Bij de kleinste twijfel niet doen!


Er zijn wel manieren om uit te vinden wat er allemaal gewijzigd en veranderd is onder de motorkap van je OS X.
Heel veel op voorhand daarop vertrouwen is wellicht wat te enthousiast.
Bij ontevredenheid of malware twijfel kan je er zekerheidshalve voor kiezen een complete back up van je OS X terug te zetten.
Werkbare oplossing maar is toch weer even wat meer werk (als je een back-up hebt tenminste, wieowie niet? Waarom niet?).

Expliciet toestemming geven - Lezen of kijken ?
Goed, volgens Intego, die vermoedelijk door the SafeMac werd benaderd hier naar te kijken (*7), wordt er deze keer netjes om expliciete toestemming gevraagd de app te installeren met daarbij een uitgebreide wazige toelichting.
Het 'opmerkelijke daarbij' is nog het verschil tussen het bla bla marketing en onderzoeksverhaal en de afbeelding erboven die iets groens met het milieu van doen suggereert.

Social engineering
Dat plaatje werkt veel sterker dan die hele tekst die je waarschijnlijk maar schuin doorleest. Het plaatje geeft de associatieve (te vertrouwen?) beeldvorming.
"Improve the internet and the environment"

En expliciet zelfs deels aan de malware gerefereerd in naam
"Participate in PremierOpinion and become part of Trees for Knowledge,
Millions of trees pledged and counting. PremierOpinion.com/trees"

De link http://premieropinion.com/AboutTrees
werkt en er staat een 'mooi' verhaal, groen, milieu.
PremierOpinion, a division of comScore, Inc. has partnered with Trees for the Future to plant trees for active members of our PremierOpinion community. After remaining an active panelist in PremierOpinion by installing our research software and letting it communicate with us for at least 90 days, we will donate a tree in recognition of their participation. These active members will be contributing to the future of the Internet and the future of our environment!

Wie over het milieu begint is wel te vertrouwen, toch?
What’s your carbon footprint?
Each individual contributes to the emission of greenhouse gases into the environment through everyday activities like commuting, heating a house and even feeding a family. The amount of carbon dioxide that you are responsible for is often called your carbon footprint. And too much carbon dioxide in the atmosphere is one of the major causes of global warming. You can do your part to help save the environment by using energy more wisely and recycling. But planting trees can also help reduce the effects of carbon dioxide. On average, a mature tree annually removes more than 50 pounds of carbon dioxide from the global atmosphere. That’s why we’re pledging to plant trees through our partnership with Trees for the Future.

Click here to learn more about Trees for the Future.
(linkt naar http://www.treesforthefuture.org/)
Welke maat heb jij?

'Video'footprint ?
Wat heeft dit allemaal met video software te maken?
(Behalve dat je computer met het converteren van videomateriaal veel harder moet werken en daarmee je carbon footprint nadelig beïnvloedt?)
Weinig.
Waar het meer mee te maken lijkt te hebben is met platte social engineering; jou als gebruiker afleiden, een andere indruk geven dan waar het om gaat met als doel jou de software klakkeloos maar gelukkig niet klikkeloos ;) te laten installeren.
Iets wat de vorige variant van OpinionSpy veel sterker deed, meer gebruik van echte misleiding.
Hier wordt expliciet gevraagd om toestemming bij het installeren.
Voor wat het waard is.

Spyware voor OS X 10.8, kreupel onder Yosemite
De free-video-cutter-joiner.pkg('s) eens wat 'uitelkaar getrokken' en nader bekeken, zie ik dat ergens in de strings vermeld staat dat het voor OS X Mountain Lion 10.8 geschikt is en de volgende app geïnstalleerd wordt
APP_PATH="/Applications/PremierOpinion/PremierOpinion.app"
De PremierOpinion.app is hier de boosdoener, te vinden in..?
Gewoon je programma map.

Wat ik niet heb gedaan maar Intego wel is de app daadwerkelijk geïnstalleerd, daaruit blijkt dat het ook direct extensies installeert in aanwezige browsers.
Volgens Intego blijkt de extensie niet goed te werken onder de nieuwste versie(s) van Safari (Yosemite?).
Je hebt dan, weliswaar te laat, een visuele indicatie in Safari dat er iets mis is via een overhoop gegooide lay out.

Service van de Spywarezaak ?
Om als gebruiker ook zeker te weten dat je de spyware daadwerkelijk hebt geïnstalleerd heeft de maker ook nog het app icon toegevoegd aan je toolbar!
Witte ster ik gifgroen blokje, kan je niet ontgaan, makkelijk te detecteren.
Best goede service eigenlijk, behalve dan als je de kennis over deze spyware nog niet hebt en je niet doorhebt dat er voortdurend op de achtergrond 'contact' is met de premieropinion servers.

Wat het precies verstuurt is nog niet duidelijk.
De eerdere versies waren niet kinderachtig met spioneren. (* 2)
Het scannen van bereikbare volumes, het analyseren van files, het injecteren van code in het geheugendeel van draaiende applicaties, toevoegen van extensies, graaft je communicatie programma's en data door en meer wat je van spyware kan verwachten.

Klinkt toch ernstig: en Mac's protectie Gatekeeper dan ?
Voor het zover is heb je al je Gatekeeper niveau moeten verlagen tot het toestaan van apps van 'iedereen' vermoed ik zo.
Opmerkelijk eigenlijk dat Intego het daar niet over heeft want het is maar zeer de vraag of het hier om een trusted app gaat, een app van een identified developer (reken er maar niet op dat je hem in de app store vindt, de hoogste Gatekeeper security setting).

PKG nader bekeken - Windows ?
Na het openen van de eerste PKG tref ik een nieuw PKG aan met exact dezelfde naam (in dat tweede PKG zit de payload van de malware) en onder andere een tweetal bundles (Survey.bundle & Disclaimer.bundle).
In de Info.plist van de Survey.bundle tref ik een verwijzing aan naar een andere Chinese software developer.
Niet voor Mac maar voor Windows!

Met copyright en al van zxt2007.com ?
<string>Copyright © 2014? zxt2007.com. All rights reserved.</string>

Voor het idee van wat ze aanbieden : http://en.zxt2007.com/downloads.html
Een beetje zoekend op het internet is er wel eenassociatie van dit bedrijf met malware te vinden.
Nota bene op een site waar meer software wordt aangeboden en wel eens opmerkingen over zijn, bij deze.
http://download.cnet.com/Inverted-Image/3000-2192_4-75332307.html
Het kan natuurlijk zijn dat deze Chinese developer tegen wil en dank hiermee geassocieerd is en van niets weet.
Evengoed telt een gewaarschuwde gebruiker voor twee.

'Mac' risico trefwoorden
(voor in je achterhoofd bij het opletten ;) :

Opinion
Opninionspy
PremierOpinion
zxt2007.com
PKG
Videosoftware
Videoconverters
Softpedia
Free
Gratis



Virustotal, spyware herkend door virusscanners ?
Mocht je bovenstaande informatie nou allemaal overslaan, dan kan een virusscanner je misschien uiteindelijk nog waarschuwen (al zijn av scanners door echte doorzetters ook nog wel te negeren, soms).

Virustotal scannetje op de volgende files leverde de volgende resultaten op.

• File name: free-video-cutter-joiner.pkg
SHA256: d095b79ee3a2c6ce065f56efd3610a79e20c50c072150e9ae541a2735c9f6fe5
Detection ratio: 16 / 57
Analysis date: 2015-02-12

AVG, OSX/OpinionSpy
Ad-Aware, MAC.OSX.Spyware.OpinionSpy.N
Avast, MacOS:Spynion-M [Adw]
Avira, MACOS/OpinionSpy.A.10
BitDefender, MAC.OSX.Spyware.OpinionSpy.N
DrWeb, Mac.BackDoor.OpinionSpy.3
ESET-NOD32, a variant of OSX/OpinionSpy.F
Emsisoft, MAC.OSX.Spyware.OpinionSpy.N (B)
F-Secure, MAC.OSX.Spyware.OpinionSpy.N
GData, MAC.OSX.Spyware.OpinionSpy.N
Ikarus, Trojan.OSX.Opinionspy
Kaspersky, HEUR:Trojan.OSX.Spynion.h
MicroWorld-eScan, MAC.OSX.Spyware.OpinionSpy.N
Symantec, OSX.Trojan.Gen
TrendMicro-HouseCall, Suspicious_GEN.F47V0209
nProtect, MAC.OSX.Spyware.OpinionSpy.N



• File name: Payload
SHA256: a079033b13be52c1472aa9133dd7221aa33840bf29f73b76db8f515ce95800e6

Detection ratio: 14 / 57
Analysis date: 2015-02-12

AVG, OSX/OpinionSpy,
Ad-Aware, MAC.OSX.Spyware.OpinionSpy.N,
Avast, MacOS:Spynion-H [Trj],
Avira, MACOS/OpinionSpy.A.10,
BitDefender, MAC.OSX.Spyware.OpinionSpy.N,
DrWeb, Mac.BackDoor.OpinionSpy.3,
ESET-NOD32, a variant of OSX/OpinionSpy.F,
Emsisoft, MAC.OSX.Spyware.OpinionSpy.N (B),
F-Secure, MAC.OSX.Spyware.OpinionSpy.N,
GData, MAC.OSX.Spyware.OpinionSpy.N,
Kaspersky, HEUR:Trojan.OSX.Spynion.h,
MicroWorld-eScan, MAC.OSX.Spyware.OpinionSpy.N,
NANO-Antivirus, Trojan.Mac.OpinionSpy.difequ,
nProtect, MAC.OSX.Spyware.OpinionSpy.N


Een hele hoop verschillende namen, tja zo gezien lijkt de Mac malware wel explosief toe te nemen.
Dat valt erg mee, hopen maar dat de hash geteld wordt (en niet ook nog alle componenten van het PKG apart)

Jouw Av scanner ?
Zit jouw virusscanner nog niet in het detectie overzicht?

Geen nood want jij bent bij deze gewaarschuwd en ook nog eens een verstandige Mac gebruiker,
die de volgende dingen uit zichzelf al doet :

- Niet standaard werken onder een admin account
- Twee of drie keer nadenken voordat je je Gatekeeper voorkeuren naar het laagste level brengt (die altijd standaard op het hoogste level staat!)
- Niet zomaar, bij voorkeur geen PKG's installeren (tenzij je zeker weet dat je de software kunt vertrouwen)
- Niet zomaar een admin password invoeren bij installatie

- Software downloaden van vertrouwde bronnen. Sommige sites hebben inmiddels een andere reputatie die je moet kennen.
- Wat inlezen over software en zoeken naar reviews
- Gedownloade (up to date) Software ook scannen met je virusscanner
- ..


Tot slot : de anti climax
Had je allang door natuurlijk.
Een heel verhaal om vrijwel niets eigenlijk, 'slechts' oude Mac malware in een nieuw jasje.
Malware die je zelf bewust moet installeren tegen de vele signalen die je krijgt in.

Het enige nieuwe dat ik eraan kan ontdekken is dat er een Chinese Windows developer bij lijkt te zijn betrokken. (*9)

Mocht er überhaupt een windows lezer dit gelezen hebben en zover gekomen zijn, hou het in de gaten mocht je net op deze site of developer stuiten. (*10)


Stay (Easily) Safe met je Mac!


_________________________________________________________________________________

Linkjes :

Aanleiding : http://www.thesafemac.com/opinionspy-is-back/

*1) http://www.thesafemac.com/mmg-catalog/
(is zelfs als link in de help pages van OS X Yosemite verwerkt !)

*2) http://www.intego.com/mac-security-blog/intego-security-alert-osxopinionspy-spyware-installed-by-freely-distributed-mac-applications/

*3) http://www.thesafemac.com/opinionspy-is-back/

*4) http://www.techworld.com/news/security/spyware-hidden-in-mac-software-and-apps-says-security-firm-3225444/

*5) http://dvdvideomedia.com/
*6) http://free-video-cutter-joiner.en.softonic.com/mac/download

Voor de geïnteresseerde, de malware download link (met veiligheids spaties)!
http:// gsf-cf.softonic. com/a0d/0b9/d34f07c7d99852b9b833ba8f472bb56516/free-video-cutter-joiner.pkg?SD_used=0&channel=WEB&fdh=no&id_file=69695172&instance=softonic_en&type=PROGRAM&Expires=1423807818&Key-Pair-Id=APKAJUA62FNWTI37JTGQ&Signature=haA-qtK6JwWNHufDE6xR6yswiqY-AyFXErv64onh2v6jUnDYimMruC2zcbHumdNtKXWztt7hg~DG4R1I~Ww1sMYK5BGLQP~YXrCLkYK7pwBsRGJOlbLBF-wN9o2VrBmHkHKcfqnQqQdWWTJiHwoRIbGX5OIu2oEBTt8NNjPfcq4_&filename= free-video-cutter-joiner.pkg

Downloaden kan op zich nog geen kwaad, actief installeren (dubbelklik op het PKG file) met opgave van je admin password moet je niet doen (wat rijmt er op wel doen? Juist Oen! Niet dubbelklikken dus! ;).

*7) http://www.intego.com/mac-security-blog/opinionspy-rears-its-ugly-head-on-macs-once-again/

*8) https://en.wikipedia.org/wiki/.pkg
*9) http://en.zxt2007.com/about.html
*10) ZXT2007 Video Converter
http://www.softpedia.com/get/Multimedia/Video/Encoders-Converter-DIVX-Related/ZXT2007-Video-Converter.shtml
Reacties (2)
13-03-2015, 13:59 door Anoniem
Kleine aanvullingen nog (van TS)


- Gatekeeper werd gepasseerd omdat het gesigneerd was met een developer ID (ook chinees)

- Dat developer ID is al weken geleden geblokkeerd door Apple

- Deze nieuwe Opinion spy variant is weken geleden toegevoegd aan Apple's interne Xprotect lijst en daarmee geblokkeerd.


* Ga je installeren nu wat gebeurt er dan?
Geen toestemming van Apple.

* Ga je nu installeren maar heb je de Xprotect update nog niet binnen?
Je kan bij een pkg (als het goed is, vergat ik nog te vermelden) op een icoontje/slotje rechtboven van het pkg installatiemenu window klikken voor een certificaatcontrole.
Je certificaat controle geeft dan aan dat het certificaat van de CN developer untrusted (of ingetrokken is).

* Installeer je offline en heb je ook de Xprotect update niet binnen?
Ja dan mag je het zonder de Apple protectie doen en zal je op je eigen goede beoordelingsvermogen moeten vertrouwen.
Signalen genoeg, zie hierboven.

Groet TS ;)
13-03-2015, 15:30 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.