image

Mac-malware verspreidt zich via e-mail

zaterdag 29 april 2017, 07:43 door Redactie, 10 reacties

Mac-gebruikers zijn het doelwit van een aanval waarbij er via e-mail wordt geprobeerd om systemen te infecteren met malware die ssl-verkeer kan onderscheppen. Het gaat om een nieuw malware-exemplaar genaamd Dok die op alle macOS-versies werkt en met een geldig ontwikkelaarscertificaat van Apple is gesigneerd.

Volgens beveiligingsbedrijf Check Point is het de eerste grootschalige e-mailaanval op Mac-gebruikers waarbij malware wordt verspreid. De aanvallers zouden het voornamelijk op Europese gebruikers hebben voorzien. Zo is er een kwaadaardige e-mail waargenomen die van de Zwitserse Belastingdienst afkomstig lijkt.

Het bericht claimt dat er problemen met de Belastingteruggave zijn en er meer informatie in de meegestuurde bijlage is te vinden. Het gaat om een zip-bestand met een applicatie genaamd "Truesteer.AppStore". Eenmaal actief toont de malware boven andere vensters een venster met de boodschap dat er een beveiligingsupdate beschikbaar is en gebruikers hiervoor hun beheerderswachtwoord moeten invoeren. Als gebruikers hier gehoor aan geven verkrijgt de malware beheerdersrechten.

Met deze rechten worden aanvullende tools geïnstalleerd, zoals Socat en Tor. Hierna worden de netwerkinstellingen van het slachtoffer aangepast, zodat al het verkeer via een proxy loopt. Ook probeert de malware een nieuw rootcertificaat te installeren zodat het versleutelde webverkeer van de gebruiker, bijvoorbeeld voor webmail en internetbankieren, kan worden onderschept. Uiteindelijk verwijdert de malware zichzelf weer van het systeem. Volgens Check Point werd de malware op het moment van de ontdekking nog door geen enkele virusscanner op VirusTotal gedetecteerd.

Reacties (10)
29-04-2017, 09:20 door [Account Verwijderd]
[Verwijderd]
29-04-2017, 10:16 door Anoniem
@Dongel: wat toont detectie door 21/58 en 22/56 virusscanners van meer dan 1 week oude malware volgens jou aan?

En denk je nou echt dat cybercriminelen geen aanpassingen kunnen en zullen maken waardoor detectie van malware in de volgende spamrun naar 0 gaat?
29-04-2017, 12:57 door Anoniem
Deze analyse is beter, minder suggestief, begrijpelijker en inzichtelijker
https://blog.malwarebytes.com/threat-analysis/2017/04/new-osx-dok-malware-intercepts-web-traffic/

Ga je voorbij de eerste belangrijke waarschuwing van OS X,
https://blog.malwarebytes.com/wp-content/uploads/2017/04/osx.dok-open-600x198.png
dan wordt het steeds lastiger om er nog los van te komen en zal een reden zijn voor een gemiddelde gebruiker dan maar het proces door te zetten (je lijkt immers geen keus te hebben door een app die alleen reageert als je doet wat zij van je verlangt : password invoeren.

Een mooi uitgewerkt voorbeeld hoe een foute app zijn gang kan gaan als je haar admin rechten geeft.
Maar het gezeik begint al met het openen van de app.

Les : geen waarschuwing van het systeem negeren! Je wordt gewaarschuwd voor het openen van een app terwijl je een attachment uit je mail opent. Waarom krijg je een app via je attachment? Dat is toch vreemd?
En misschien had je de mail zelf al niet moeten vertrouwen in combinatie met een zip attachment.

Krijg je een zip dat moet je extra voorzichtig zijn.
Er moet wel bij gezegd worden dat wat vele sites op dit onderwerp suggereren niet waar is, het uitpakken (aanklikken) van de zip start niet het infectieproces!
Dat doe je zelf door het uitgepakte file aan te klikken en de waarschuwing van je systeem te negeren en weg te klikken!

Vraagje nog, kan iemand mij uitleggen wat voor soort certificaat het geïnstalleerde certificaat is?
Laat dat een groene regel zin in de url bar van de Safari browser op naam van Comodo?
http://blog.checkpoint.com/wp-content/uploads/2017/04/urgent-10.png

Is dat een gratis certificaat? Hoe komt men aan dat certificaat? Betreft dat niet de categorie veilige certificaten?
Hoe zit dat?
29-04-2017, 14:08 door Briolet
Door Anoniem:Vraagje nog, kan iemand mij uitleggen wat voor soort certificaat het geïnstalleerde certificaat is?
Laat dat een groene regel zin in de url bar van de Safari browser op naam van Comodo?

Nee, dat zijn twee verschillende certificaten. Het applicatie certificaat is door apple verstrekt aan ontwikkelaars. Je moet je dan bij Apple registreren als officiële ontwikkelaar. Kost iets van 100 dollar per jaar. Dan kun je via de XCode compiler aangeven dat de app van een officiële ontwikkelaar komt. Apple kan dit certificaat altijd weer intrekken, wat nu ook gebeurd is voor deze malware.

Het Comodo certificaat heeft niets met Comodo van doen. Dat is een zelf gemaakt root certificaat, waar de naam Comodo in staat om hem niet verdacht te laten lijken. Dat certificaat wordt door de malware tussen de officiële certificaten geplaatst.
29-04-2017, 23:27 door [Account Verwijderd] - Bijgewerkt: 29-04-2017, 23:28
[Verwijderd]
29-04-2017, 23:51 door Anoniem
Het is mij niet duidelijk of het programma een vals account credential invoer scherm geeft of dat het reguliere, en in principe veilige OS X account credential invoer scherm getoond wordt?
30-04-2017, 11:06 door Briolet
Het moet een vals credential invoer scherm zijn. Want later doet hij "onder water" nog een sudo commando en daar heeft hij ook het wachtwoord voor nodig terwijl de gebruiker het dan niet meer hoeft te geven. Via een echte credential invoer krijgt een programma het wachtwoord niet in handen om later ergens anders weer te gebruiken, dus moet het via een vals invoerscherm gebeuren.

Volgens de bron heeft het programma alleen een Engelse en Duitse localisatie. Als je eigen systeem op een andere taal ingesteld is, wordt het ook verdacht als je plots een Engelstalig systeemscherm ziet die om een wachtwoord vraagt.
30-04-2017, 13:58 door Anoniem
Door Briolet:
Via een echte credential invoer krijgt een programma het wachtwoord niet in handen om later ergens anders weer te gebruiken, dus moet het via een vals invoerscherm gebeuren.

Wil je dat eens onderbouwen met een bron?
Daar geloof ik niets van,.
Er is ook geen reden om dat te veronderstellen; de app kan net zoals een andere app die admin rechten nodig heeft om diverse taken uit te voeren voor installatie via de officiële weg om meer rechten vragen, dan krijg je dus een echt login schermpje.
Zie geen enkele reden waarom dat niet zou kunnen.

Deze malware is uiteindelijk gewoon een app met code die taken uitvoert die niet helemaal overeenkomen met de verwachtingen van de gebruiker. Maar dat kan een computer lastig beoordelen.
Ergo: foute app die om actieve installatie vraagt met extra admin privileges.

Geef jij je wachtwoord niet dan komt het niet verder.
Wel heel irritant is dat het in je startup items komt te staan en de meeste gebruikers niet weten wat een Safe boot is en waar je je startupitems kunt managen.

(hint is dus, safe boot met netwerk instellingen uit en dan naar je startup-items in je systeemvoorkeuren paneel onder gebruikers om te kijken wat voor rommel daar allemaal staat, dropbox, skype, ..... :(
En geen belangrijke waarschuwingen van je systeem negeren natuurlijk.
30-04-2017, 18:52 door Briolet
Door Anoniem:
Door Briolet:
Via een echte credential invoer krijgt een programma het wachtwoord niet in handen om later ergens anders weer te gebruiken, dus moet het via een vals invoerscherm gebeuren.

Wil je dat eens onderbouwen met een bron?
Daar geloof ik niets van,.
Er is ook geen reden om dat te veronderstellen; de app kan net zoals een andere app die admin rechten nodig heeft om diverse taken uit te voeren voor installatie via de officiële weg om meer rechten vragen,

Nee ik heb geen bron alleen mijn logica. Het programma heeft geen admin rechten nodig, maar root rechten omdat hij de sudo-ers file wil aanpassen. (Root is nog 1 stap hoger dan admin). Er is ook geen reden om onder normale omstandigheden een ww aan een applicatie te geven. De applicatie vraagt aan het systeem om toestemming voor een handeling. Daarna vraagt het systeem naar jouw ww en geeft daarna de applicatie de toestemming om verder te gaan. Wat dat ww was is voor de applicatie niet van belang

Het enige wat ik niet snap in de beschreven procedure is dat hij een 'sudo' kan doen om het account administrator rechten te geven. Als ik normaal in een user account werk, krijg ik nooit toestemming voor een "sudo" commando. Ik moet eerst inloggen met een admin account om mezelf root-rechten te kunnen geven.
01-05-2017, 15:06 door Anoniem
Door Briolet:
Door Anoniem:
Door Briolet:
Via een echte credential invoer krijgt een programma het wachtwoord niet in handen om later ergens anders weer te gebruiken, dus moet het via een vals invoerscherm gebeuren.

Wil je dat eens onderbouwen met een bron?
Daar geloof ik niets van,.
Er is ook geen reden om dat te veronderstellen; de app kan net zoals een andere app die admin rechten nodig heeft om diverse taken uit te voeren voor installatie via de officiële weg om meer rechten vragen,

Nee ik heb geen bron alleen mijn logica.

Als je dit blog even leest zie je dat er geen reden is tot deze vorm van eigen logica die je aannames niet lijkt te ondersteunen.
Concreet met afbeeldingen geillustreerd en beschrijving stapsgewijs beschreven.
https://blog.malwarebytes.com/threat-analysis/2017/04/new-osx-dok-malware-intercepts-web-traffic/

Onnodig verwarring scheppend dit.

Ten aanzien van de rest van de logica tegen de analyses van malwarebytes en checkpoint in.
Het programma heeft geen admin rechten nodig, maar root rechten omdat hij de sudo-ers file wil aanpassen. (Root is nog 1 stap hoger dan admin). Er is ook geen reden om onder normale omstandigheden een ww aan een applicatie te geven. De applicatie vraagt aan het systeem om toestemming voor een handeling. Daarna vraagt het systeem naar jouw ww en geeft daarna de applicatie de toestemming om verder te gaan. Wat dat ww was is voor de applicatie niet van belang

Het enige wat ik niet snap in de beschreven procedure is dat hij een 'sudo' kan doen om het account administrator rechten te geven. Als ik normaal in een user account werk, krijg ik nooit toestemming voor een "sudo" commando. Ik moet eerst inloggen met een admin account om mezelf root-rechten te kunnen geven.
Wanneer je een pkg installeert, bijvoorbeeld van een av boer onder welk soort account dan ook vraagt het om een admin password.
Vervolgens zal de installatie haar gang gaan en kan het gewoon met invoer van een admin password wijzigingen onder root aanbrengen.
Deze app zal dat dus ook gewoon als getoond in variatie kunnen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.