image

Mac-versie van beruchte spionagesoftware "Snake" ontdekt

donderdag 4 mei 2017, 10:28 door Redactie, 1 reacties

Onderzoekers van beveiligingsbedrijf Fox-IT hebben een Mac-versie van de beruchte spionagesoftware "Snake" ontdekt. De Windows-versie van deze malware werd eerder nog op de systemen van de Belgische overheid en een Zwitsers defensiebedrijf aangetroffen, alsmede bij andere organisaties in Europa en het Midden-Oosten.

De malware, die ook bekendstaat als Uroburos, Turla en Agent.BTZ, werd in 2014 voor het eerst ontdekt. Snake is ontwikkeld om vertrouwelijke documenten te stelen en netwerkverkeer te onderscheppen. Ook beschikt de malware over een rootkit-onderdeel, waardoor die lastig te detecteren is. In 2014 werd er al een Linux-versie van Snake gevonden, die mogelijk eerst voor Solaris was ontwikkeld. De nu ontdekte Mac-versie is niet in het "wild" aangetroffen. Onderzoekers van Fox-IT vonden het exemplaar via VirusTotal, de online virusscanner van Google waarmee gebruikers verdachte bestanden door een groot aantal virusscanners kunnen laten testen.

Het bleek om een versie te gaan waar de debugfunctionaliteit nog stond ingeschakeld. Dit wordt meestal voor testdoeleinden gedaan. Dit kan erop duiden dat de malware nog niet klaar is. De Mac-versie was op 2 mei naar VirusTotal geupload en op 21 februari met een geldig ontwikkelaarscertificaat van Apple gesigneerd. De Snake-malware zat in een zip-bestand genaamd Adobe Flash Player.app.zip. Het bleek om een gebackdoorde versie van de Adobe Flash Player-installer te gaan. Zodra gebruikers de app openen wordt er een backdoor geïnstalleerd. Apple is nu gevraagd om het certificaat in te trekken, zodat de malware niet meer op systemen kan worden uitgevoerd.

Volgens de onderzoekers is het waarschijnlijk dat de Mac-versie nog niet operationeel is. Ook is die nog niet in het wild aangetroffen. De verwachting is echter dat dit in de toekomst zal veranderen. De eerder ontdekte versies van Snake gebruikten meestal gerichte phishingmails en "watering hole" aanvallen om zich te verspreiden. Hierbij worden websites gehackt die doelwitten uit zichzelf bezoeken. Vervolgens wordt er een exploit op de gehackte website geplaatst die bezoekers via kwetsbaarheden in bijvoorbeeld de browser of browserplug-in probeert te infecteren.

Reacties (1)
04-05-2017, 16:08 door Anoniem
Pebcak-ware

Indicaties genoeg bij summiere info dat deze snake niet zo snugger is.
Meer een loot uit de "gladde-aalware" familie.

Klikvingertje, klikvingertje, rustig aan
ga niet mee in
de waan
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.