image

Malware valt Mac-gebruikers aan via lek in MacKeeper

vrijdag 5 juni 2015, 12:50 door Redactie, 15 reacties

Mac-gebruikers die het programma MacKeeper hebben geïnstalleerd zijn gewaarschuwd voor malware die zich via een lek in de software probeert te verspreiden waarvoor in mei een update verscheen. Vorige maand werd er een kwetsbaarheid in MacKeeper ontdekt waardoor een aanvaller willekeurige code met rootrechten kon uitvoeren, zonder al teveel interactie van de gebruiker. Het probleem werd veroorzaakt door de manier waarop MacKeeper met "custom URL's" omgaat.

Onderzoeker Braden Thomas die het probleem ontdekte maakte een proof-of-concept die ervoor zorgt dat bij het bezoeken van een speciaal geprepareerde pagina met Safari er willekeurige opdrachten op het systeem worden uitgevoerd. Een aantal dagen nadat de proof-of-concept online verscheen zijn ook de eerste kwaadaardige MacKeeper-URL's verschenen, zo ontdekte onderzoeker Sergei Shevchenko van beveiligingsbedrijf BAE Systems.

Phishingmail

De URL's kunnen bijvoorbeeld via phishingmails worden verspreid. Als gebruikers op de link klikken verschijnt er een pop-up die waarschuwt dat er malware op de computer is aangetroffen die moet worden verwijderd. Hiervoor moet de gebruiker zijn wachtwoord invoeren. Vult de gebruiker zijn wachtwoord in, dan wordt de malware gedownload en geïnstalleerd. Volgens Shevchenko gaat het om een backdoor waarmee een aanvaller op afstand toegang tot de computer krijgt.

Ook verzamelt de malware allerlei gegevens van het systeem, zoals draaiende processen, naam van het besturingssysteem en versie, gebruikersnaam en aanwezigheid van VPN-verbindingen. Volgens de onderzoeker is het interessant om te zien hoe snel aanvallers van het lek gebruik maakten. Om de aanval uit te voeren moet een gebruiker wel een kwetsbare versie van MacKeeper hebben geïnstalleerd. De ontwikkelaars van de software beweren dat MacKeeper meer dan 20 miljoen keer is gedownload.

Shevchenko sluit dan ook niet uit dat de aanvallers hun doelwitten met phishingmails bestoken in de hoop dat er één MacKeeper heeft geïnstalleerd. Nadat het lek vorige maand bekend werd kwam MacKeeper echter snel met een update die in de meeste gevallen automatisch wordt geïnstalleerd. Het is dan ook de vraag hoe succesvol deze aanvalscampagne is of is geweest.

Image

Reacties (15)
05-06-2015, 13:16 door Anoniem
Mac was toch zoveel veiliger?
Of gaan we nu weer het '3rd party' smoesje krijgen?

Ik zeg mooi zo!
Men moet maar leren dat men daar ook security op orde moet hebben.
05-06-2015, 13:23 door [Account Verwijderd]
Zie waarschuwing van 09 mei 2015 van Thomas Reed.

http://www.thesafemac.com/serious-mackeeper-vulnerability-found/
05-06-2015, 13:26 door tarunjj
MacKeeper is zelf malware. Dus dit is geen verrassing.
05-06-2015, 13:37 door Anoniem
MacKeeper-ware valt Mac gebruikers lastig

Het werkelijke probleem is dat gebruikers MacKeepers installeren.
Als er (al) stront is met een Mac is dat vrijwel meestal direct opgelost na het verwijderen van alle sporen van deze 'brak'ware' c.q. 'break'ware.

De Mac heeft zelf al voldoende functies ingebouwd om het systeem goed draaiende te houden, neem daarnaast de voorkeuren van je programma's, te beginnen met je browser eens goed door. Als je geen historie en cookies voor jaren bewaart hoef je ze ook niet te 'cleanen'.

Voor de overige wensen (als je per se wil stel dan jezelf de waarom vraag goed en probeer hem met argumenten te beantwoorden) zijn er andere (gratis) programma's te vinden die de Mac boel niet overhoop halen.
Pas in ieder geval heel erg op met vanuit de pc hoek overgewaaide cleaners voor de Mac, die zijn over het algemeen helemaal niet nodig vanwege dubbele functionaliteit en te betwijfelen resultaten.*

Begin 'dus' beter niet aan het installeren van deze overbodige onzin en leg er al helemaal geen geld voor op tafel, je krijgt er "een levenslange licentie" op ergernis voor terug.

* Draai nooit een 'clean' programma als je niet eerst een volledige backup hebt gemaakt van je systeem en je bestanden!
05-06-2015, 14:19 door Anoniem
Door rai03: Zie waarschuwing van 09 mei 2015 van Thomas Reed.

! Nog een waarschuwing : Canvas fingerprinting op thesafemac (?)

Het lijkt erop dat thesafemac een hogere vorm tracking omarmd heeft, device fingerprint tracking.
https://en.wikipedia.org/wiki/Canvas_fingerprinting

Privacybrowser waarschuwing :
This website (www.thesafemac.com) attempted to extract HTML5 canvas image data, which may be used to uniquely identify your computer
Mits je javascripts toelaat op http://www.thesafemac.com

Heeft iemand voldoende zicht op javascipt code om te kunnen zien of dat dan om deze code gaat en er inderdaad sprake is van device fingerprint tracking?

Deeltje paginacode :
!function(a,b,c){function d(a){var c=b.createElement("canvas"),d=c.getContext&&c.getContext("2d");return d&&d.fillText?(d.textBaseline="top",d.font="600 32px Arial","flag"===a?(d.fillText(String.fromCharCode(55356,56812,55356,56807),0,0),c.toDataURL().length>3e3):(d.fillText(String.fromCharCode(55357,56835),0,0),0!==d.getImageData(16,16,1,1).data[0])):!1}function e(a){var c=b.createElement("script");c.src=a,c.type="text/javascript",b.getElementsByTagName("head")[0].appendChild(c)}var f,g;c.supports={simple:d("simple"),flag:d("flag")},c.DOMReady=!1,c.readyCallback=function(){c.DOMReady=!0},c.supports.simple&&c.supports.flag||(g=function(){c.readyCallback()},b.addEventListener?(b.addEventListener("DOMContentLoaded",g,!1),a.addEventListener("load",g,!1)):(a.attachEvent("onload",g),b.attachEvent("onreadystatechange",function(){"complete"===b.readyState&&c.readyCallback()})),f=c.source||{},f.concatemoji?e(f.concatemoji):f.wpemoji&&f.twemoji&&(e(f.twemoji),e(f.wpemoji)))}(window,document,window._wpemojiSettings);
Just curious.

Voor de andere website van hem waarop AdwareMedic wordt aangeboden geldt die waarschuwing overigens (nog) niet en zie ik daarvoor ook geen aanwijzing.
http://www.adwaremedic.com/index.php

Wat niet is kan nog komen, hou het in de gaten en laat NoScript of een andere javascript blocker de scripts maar tegenhouden op deze sites.
Zoveel extra functionaliteit is er niet te vinden.
Javascripts wel vereist voor donatie trouwens, op de site van paypal.

Mocht je nog zin hebben, het mag allemaal.
05-06-2015, 14:35 door [Account Verwijderd] - Bijgewerkt: 05-06-2015, 14:37
[Verwijderd]
05-06-2015, 15:03 door Ler0y JenKins
Door Anak Krakatau:
Door Anoniem: Mac was toch zoveel veiliger?
Of gaan we nu weer het '3rd party' smoesje krijgen?

Ik zeg mooi zo!
Men moet maar leren dat men daar ook security op orde moet hebben.
vergelijkt u eens het aantal virussen die gemaakt zijn voor windows.
niet 1 draait er op OSX.

Objection!

http://en.wikipedia.org/wiki/Trojan_BackDoor.Flashback

En inderdaad, MacKeeper is ook eigenlijk een stukje malware.
Dusja, er is ook rotzooi op een Mac te krijgen.
05-06-2015, 15:11 door Anoniem
Troep installeren waardoor het een zootje wordt en dan vervolgens nog meer troep installeren om het schoon te maken. En dan verbaasd zijn dat je een exploit hebt. En zeiken op de fabrikanten. lol
05-06-2015, 15:45 door Anoniem
Door Anoniem: Mac was toch zoveel veiliger?
Of gaan we nu weer het '3rd party' smoesje krijgen?

Ik zeg mooi zo!
Men moet maar leren dat men daar ook security op orde moet hebben.

Klets niet!
MacKeeper is 3rd party software !

Van mij mag MacKeeper direct op de XProtect definitie lijst, daar niet van.
Dus Apple zou inderdaad kunnen overwegen installatie van deze ellendige software in zijn geheel te blokkeren, maar dat soort overwegingen moet je niet lichtzinnig nemen.
Wat zijn de overwegingen om dat te doen en waar ligt de grens?

Tegen slechte 3rd party software is het dus lastig beveiligen en uiteindelijk is het de gebruiker zelf die het besluit neemt slechte 3'rd party software te installeren.
05-06-2015, 20:25 door karma4
Door Anoniem: Troep installeren waardoor het een zootje wordt en dan vervolgens nog meer troep installeren om het schoon te maken. En dan verbaasd zijn dat je een exploit hebt. En zeiken op de fabrikanten. lol
prima constatering van pebcak. Geldig voor veel malware onafhankelijk van het systeem/leverancier.
05-06-2015, 21:45 door Anoniem
Je bedoelt natuurlijk pebkac
05-06-2015, 22:11 door GerBNL - Bijgewerkt: 05-06-2015, 22:12
Amusant dat er zelfs op een security forum nog mensen zijn die zonder blikken of blozen de trollen voeren.

MacKeeper zelf mag best als malware worden geclassificeerd, maar ik vind het ook niet echt verrassend dat er mensen zijn die vallen voor deze rommel als quasi-'serieuze' sites als MacUpdate die zooi nog steeds aanbieden. Niet iedereen kan alle in en outs van computers beheersen. Makkelijk om daar op neer te kijken, maar ik wil de meeste computerdeskundologen nog wel eens een muurtje zien metselen.
06-06-2015, 13:24 door Anoniem
Mac-keeper is sowies rotzooi. Een Mac heeft kan zelf zijn onderhoud uitvoeren.
07-06-2015, 13:15 door Anoniem
Dit vind ik net goed voor deze mac gebruikers. Haden ze MacKeeper maar niet moeten installeren aangezien dit de grootste troep is die er te verkrijgen is voor de mac. Dat programma is duur en of het echt je mac echt veiliger maakt daar heb ik grote twijfels over. Ik meen dat er ook een recht zaak tegen mackeeper loopt om dat ze dingen zouden hebben gedaan die niet legaal zijn. Lees dit hier onder maar eens. Het zijn smeerlappen die van mackeeper moet er niets van hebben.
je kunt beter adware medic installeren dat is graties. Dat doet wat het zegt wat het doet niet meer en niet minder.


http://www.onemorething.nl/2015/01/wat-mackeeper-is-en-waarom-je-het-niet-moet-gebruiken/
08-06-2015, 17:50 door [Account Verwijderd] - Bijgewerkt: 08-06-2015, 18:38
Door Anoniem:
Door rai03: Zie waarschuwing van 09 mei 2015 van Thomas Reed.

! Nog een waarschuwing : Canvas fingerprinting op thesafemac (?)

Het lijkt erop dat thesafemac een hogere vorm tracking omarmd heeft, device fingerprint tracking.
https://en.wikipedia.org/wiki/Canvas_fingerprinting

Privacybrowser waarschuwing :
This website (www.thesafemac.com) attempted to extract HTML5 canvas image data, which may be used to uniquely identify your computer
Mits je javascripts toelaat op http://www.thesafemac.com

Heeft iemand voldoende zicht op javascipt code om te kunnen zien of dat dan om deze code gaat en er inderdaad sprake is van device fingerprint tracking?

Hallo Anoniem (05-06-2015, 14:19 door Anoniem),

Zie dit artikel van Thomas Reed van 08 juni 2015: Tor Browser false positive:

http://www.thesafemac.com/tor-browser-false-positive/

U heeft ook niet de hele tekst van de waarschuwing geplaatst (???) :

This webstie (www.thesafemac.com) attempted to extract HTML5 canvas image data, which may be used to uniquely identify your computer.

Should Tor Browser allow this website to extract HTML5 canvas image data?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.