image

Nieuwe Mac-backdoor doet zich voor als conversieprogramma

woensdag 6 juli 2016, 10:33 door Redactie, 1 reacties

Onderzoekers hebben een nieuwe Mac-backdoor ontdekt die zich voordoet als een conversieprogramma en alleen Mac-gebruikers kan infecteren die opzettelijk de beveiliging van hun systeem verlagen. De malware doet zich voor als "EasyDoc Converter" en zou zogenaamd documenten kunnen omzetten.

De Eleanor-backdoor, zoals de malware wordt genoemd, werd door het Roemeense anti-virusbedrijf Bitdefender ontdekt. Hoe de app precies wordt verspreid laat de virusbestrijder niet weten, maar hij bevindt zich niet in de Mac App Store en beschikt ook niet over een digitale handtekening van de ontwikkelaar. Standaard kunnen Mac-gebruikers alleen software installeren die van een "geïdentificeerde ontwikkelaar" en de Mac App Store afkomstig is.

Gebruikers moeten dan ook opzettelijk het beveiligingsniveau van het systeem verlagen om de malware te kunnen installeren. Eenmaal actief geeft de backdoor aanvallers volledige controle over het systeem, waaronder de webcam. Zo gebruikt de backdoor een aparte tool voor het maken van foto's en opnemen van video's via de webcam.

Reacties (1)
06-07-2016, 17:27 door Anoniem
DocX converter?

Tja, wat dacht je van LibreOffice gebruiken?
...
..
10 dagen geleden schreef ik dit
Ja, ja: OS X en Webcam hacks?
....
Over Mac webcamhacks lees en hoor je weinig, ook als je er naar op zoek gaat.
...
De indruk bestaat dan ook dat wat dat betreft (helaas) weinig is veranderd, geen live-educatieve onderhouden met hacken de betrokkenen en ondertussen gaan wellicht de online discussies nog steeds over de misbruik mogelijkheden die Java en verouderde Java versies en of omgebogen appjes bieden.

Well what do you know,
sinds halverwege maart dus weer eens een nieuwe (spaarzame) fake app in omloop.
En nog wel eentje die toegang geeft tot je webcam op de Mac! (mocht je er een hebben), en mits jij en dan nog je security configuratie dat al zou toelaten.

Ik heb nog gezocht naar de app, wil het zien werken, maar het is 'helaas' al niet meer te vinden en het lijkt erop dat het helemaal niet op vele bekende download sites was te vinden maar alleen op MacUpdate.
Dat is het geluk bij het ongeluk voor Mac's, malware krijgt direct zoveel aandacht dat het ook weer heel gauw afgelopen is (vooralsnog).

De aanpak van de maker doornemend.
Interessant het combinatie gebruik van voorhanden hulpmiddeltjes.
Ook interessant is dat de maker daarvoor een versie van meer dan een jaar oud gebruikt.
Dat kan erop duiden dat de maker bijzonder gemotiveerd is om een zo breed mogelijk palet aan versies van OS X gebruikers te besmetten (Over het algemeen betreft dat dan bijna zonder uitzondering een staat of een bedrijf dat software levert voor staatshackers.)
Of dat betreffende lonekiddiewolfmaker er al een ruim tijdje aan heeft zitten sleutelen en zodoende twee nieuwere versies van Platypus miste.

De laagdrempelige aanpak door het combineren van vrij beschikbare techniek is in ieder geval interessant om te zien en laat helaas ook zien dat de stap naar Ransomeware voor de Mac ook weer wat dichterbij is gekomen.
Hier zien we al een deel van de benodigde ingredienten, met de 'eerste' werkende ransomeware voor Mac een tijdje geleden zagen we het andere deel.
Het ingredient van het gevaar van social engineering is al jaren bekend alsmede het gevaar van dit soort download sites.

Alhoewel het allemaal steeds meer bijelkaar lijkt te komen is het nog steeds niet zover dat het vanzelf gaat.
Er is zoals al jaren het geval is meestal wel bewuste gebruikersinteractie vereist.
Maar toch.
In ieder geval is hiermee weer eens aangetoond dat een extra firewall wellicht eerder te overwegen is (nieuwe app niet gewhitelist dan geen externe verbinding!) dan een extra malwarescanner.
En dat Apple nou eindelijk eens gaat overwegen om die shell functionaliteit misschien maar helemaal weg te halen onder standaard accounts onder Mac OS X.
Maar ja, wat doe je dan met applescript en python?

Maar goed, als je gebruikers volledig wil gaan beschermen tegen het installeren van apps die foute dingen doen
moet je de zaak dusdanig gaan dichttimmeren dat je waarschijnlijk op iets als iOS uitkomt, en misschien gaat het daar nog wel naartoe ook gezien het verder integreren van iOs functionaliteit in Mac OS (X).

Ik hou me sterk aanbevolen voor concrete hints aangaande locaties waar ik dit appje nog kan vinden opdat ik het hier op een systeem kan loslaten om te testen op diverse aangepaste configs.

We wisten het al maar het blijft dus oppassen met de welbekende download sites die natuurlijk ook alleen maar scannen (hopelijk tenminste) op reeds bekende malware.
Handmatig wordt er niet getest, dan wordt gratis te duur.
Dat mag jij dus doen voor eigen rekening.

Hoe belangrijk is dat 'handige' appje voor je?
Pas je ook op met video converters?
Die waren al jaren een hit.

;)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.