image

Apple beschermt Mac-computers tegen Fruitfly-backdoor

donderdag 19 januari 2017, 10:30 door Redactie, 7 reacties
Laatst bijgewerkt: 19-01-2017, 14:09

Apple heeft de in macOS ingebouwde virusverwijdertool XProtect van een update voorzien om gebruikers tegen de Fruitfly-backdoor te beschermen. Het gaat om een recent ontdekt malware-exemplaar die van "antieke code" gebruikmaakt en tegen biomedische onderzoeksinstellingen is ingezet.

Dat meldt anti-malwarebedrijf Malwarebytes. Volgens onderzoeker Thomas Reed gaat het om de eerste Mac-malware van 2017, hoewel Fruitfly waarschijnlijk al sinds 2014 in omloop is. In de code van de backdoor werden oude functies ontdekt die nog van voor OS X stammen. Daarnaast bevat de malware ook de libjpeg-bibliotheek, die voor het laatst in 1998 werd bijgewerkt. Via de backdoor hebben aanvallers toegang tot het systeem.

"De enige reden die ik kan verzinnen waarom deze malware nog niet eerder is opgemerkt, is omdat die bij zeer gerichte aanvallen wordt gebruikt, wat blootstelling beperkt", aldus Reed. Hij wijst op berichten over Chinese en Russische hackers die de afgelopen jaren Amerikaans en Europees wetenschappelijk onderzoek zouden hebben gestolen. "Hoewel er geen bewijs is dat deze malware aan een specifieke groep koppelt, kan het feit dat het bij biomedische onderzoeksinstellingen is aangetroffen erop duiden dat het bij dergelijke spionage is ingezet." Hoe de Fruitfly-backdoor wordt verspreid is nog altijd onbekend. XProtect wordt automatisch door Apple via een update bijgewerkt.

Reacties (7)
19-01-2017, 13:42 door Anoniem
Wanneer wordt die geupdated ik zie dat nergens in de appstore.
wanneer dat wordt bijgewerkt als ik op updates klik.
Of gebeurd dat automatisch als background update.
19-01-2017, 15:29 door Briolet
Zoek maar eens op "XProtect". Deze update loopt onzichtbaar buiten de appstore om en kun je eigenlijk alleen voorkomen door je mac van het internet los te koppelen.
19-01-2017, 15:36 door Anoniem
Door Anoniem: Wanneer wordt die geupdated ik zie dat nergens in de appstore.
wanneer dat wordt bijgewerkt als ik op updates klik.
Of gebeurd dat automatisch als background update.
Gebeurt automatisch als backup upgrade.

check de datum van XProtect.meta.plist

$ ls -l /System/Library/CoreServices/XProtect.bundle/Contents/Resources/XProtect.meta.plist
-rw-r--r-- 1 root wheel 6619 Jan 17 20:30 /System/Library/CoreServices/XProtect.bundle/Contents/Resources/XProtect.meta.plist
19-01-2017, 15:39 door Anoniem
Door Briolet: Zoek maar eens op "XProtect". Deze update loopt onzichtbaar buiten de appstore om en kun je eigenlijk alleen voorkomen door je mac van het internet los te koppelen.
Of door in de firewall de toegestane ondertekende software te verbieden te downloaden.
19-01-2017, 16:37 door Anoniem
Door Anoniem: Wanneer wordt die geupdated ik zie dat nergens in de appstore.
wanneer dat wordt bijgewerkt als ik op updates klik.
Of gebeurd dat automatisch als background update.

Als je verder leest zie je in de laatste zin van alinea 3 staan:

"XProtect wordt automatisch door Apple via een update bijgewerkt."

Automatisch bijgewerkt.
19-01-2017, 19:49 door Anoniem
Door Anoniem:
Door Anoniem: Wanneer wordt die geüpdatet ik zie dat nergens in de Appstore.
wanneer dat wordt bijgewerkt als ik op updates klik.
Of gebeurd dat automatisch als background update.

Als je verder leest zie je in de laatste zin van alinea 3 staan:

"XProtect wordt automatisch door Apple via een update bijgewerkt."

Automatisch bijgewerkt.

Dat staat er wel maar is zeker niet 100% waar.

Een deel van de Mac gebruikers krijgt de updates niet of veel later maar in ieder geval niet allemaal te gelijk.
Daarnaast is handmatig bijwerken ook geen optie, kanniet, wat je ook probeert met wat voor terminal commands.

Daar is al jaren online veel over geschreven, zonder antwoord.
Nou, ja er zijn wel mogelijkheden hoor.

1) Uitvogelen wat de exacte update link is waar deze bijgewerkte XProtect online staan, ze downloaden installeren.

2) De files handmatig elders opduikelen en ze met de hand installeren, wat overigens niet zomaar gaat omdat Apple dat XProtect file weer beveiligd heeft.

Dan is het nog de vraag of het ook werkt, testen maar.
Maarja, dat is ook weer zo wat.
De malware waar in voorkomende gevallen over wordt geschreven is vrijwel nooit online te vinden.

'tis wat, is er eindelijk een keer wat, is het 'direct' verholpen en niet te vinden om te testen.
Maar ik heb graag dit soort luxe problemen.
En het was een aardige aanleiding om op een rondslingerend oudje nog een XProtect file van 2013 bij te werken naar 2017.

;)
20-01-2017, 02:22 door Anoniem
Door Anoniem:
Daarnaast is handmatig bijwerken ook geen optie, kanniet, wat je ook probeert met wat voor terminal commands.
Daar is al jaren online veel over geschreven, zonder antwoord.


sudo softwareupdate --background-critical
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.