Mac-gebruikers die het programma MacKeeper hebben geïnstalleerd zijn gewaarschuwd voor malware die zich via een lek in de software probeert te verspreiden waarvoor in mei een update verscheen. Vorige maand werd er een kwetsbaarheid in MacKeeper ontdekt waardoor een aanvaller willekeurige code met rootrechten kon uitvoeren, zonder al teveel interactie van de gebruiker. Het probleem werd veroorzaakt door de manier waarop MacKeeper met "custom URL's" omgaat.
Onderzoeker Braden Thomas die het probleem ontdekte maakte een proof-of-concept die ervoor zorgt dat bij het bezoeken van een speciaal geprepareerde pagina met Safari er willekeurige opdrachten op het systeem worden uitgevoerd. Een aantal dagen nadat de proof-of-concept online verscheen zijn ook de eerste kwaadaardige MacKeeper-URL's verschenen, zo ontdekte onderzoeker Sergei Shevchenko van beveiligingsbedrijf BAE Systems.
De URL's kunnen bijvoorbeeld via phishingmails worden verspreid. Als gebruikers op de link klikken verschijnt er een pop-up die waarschuwt dat er malware op de computer is aangetroffen die moet worden verwijderd. Hiervoor moet de gebruiker zijn wachtwoord invoeren. Vult de gebruiker zijn wachtwoord in, dan wordt de malware gedownload en geïnstalleerd. Volgens Shevchenko gaat het om een backdoor waarmee een aanvaller op afstand toegang tot de computer krijgt.
Ook verzamelt de malware allerlei gegevens van het systeem, zoals draaiende processen, naam van het besturingssysteem en versie, gebruikersnaam en aanwezigheid van VPN-verbindingen. Volgens de onderzoeker is het interessant om te zien hoe snel aanvallers van het lek gebruik maakten. Om de aanval uit te voeren moet een gebruiker wel een kwetsbare versie van MacKeeper hebben geïnstalleerd. De ontwikkelaars van de software beweren dat MacKeeper meer dan 20 miljoen keer is gedownload.
Shevchenko sluit dan ook niet uit dat de aanvallers hun doelwitten met phishingmails bestoken in de hoop dat er één MacKeeper heeft geïnstalleerd. Nadat het lek vorige maand bekend werd kwam MacKeeper echter snel met een update die in de meeste gevallen automatisch wordt geïnstalleerd. Het is dan ook de vraag hoe succesvol deze aanvalscampagne is of is geweest.
Deze posting is gelocked. Reageren is niet meer mogelijk.