image

Gehackte Georgische nieuwssite probeert Macs te besmetten

dinsdag 25 juli 2017, 13:59 door Redactie, 2 reacties

Aanvallers hebben een gerenommeerde Georgische nieuwssite gehackt en voorzien van code die Mac-gebruikers probeert te infecteren. Het komt zeer zelden voor dat aanvallers websites hacken om vervolgens alleen Mac-gebruikers aan te vallen. De nieuwssite in kwestie bericht in het Engels, Russisch en Georgisch. De kwaadaardige code was alleen aan het gedeelte in de Georgische taal toegevoegd.

Voordat de aanval plaatsvindt controleert de kwaadaardige code op de website eerst de browser van de gebruiker. Als het om een Mac-gebruiker met Google Chrome gaat wordt de aanval niet uitgevoerd. Alleen bij Mac-gebruikers met Safari wordt er aanvullende code gedownload die een pagina laadt genaamd "Flash Player Critical Update". Deze pagina probeert de gebruiker de 'GetFlashPlayer.app' te laten installeren, die zich voordoet als een update voor Adobe Flash Player, zo meldt securitybedrijf Volexity.

Het gaat om een app die met een geldig ontwikkelaarscertificaat van Apple is gesigneerd. In werkelijkheid bevat de app de Leverage-backdoor die allerlei informatie over het systeem verzamelt en aanvallers toegang tot het systeem biedt. Deze backdoor is niet nieuw. Al in 2013 werd er voor de malware gewaarschuwd en publiceerde Apple een update voor de in macOS ingebouwde virusverwijdertool XProtect om gebruikers te beschermen. Of XProtect ook de nu ontdekte versie herkent is onbekend. De naam van de nieuwssite is niet bekendgemaakt.

Image

Reacties (2)
25-07-2017, 14:17 door Anoniem
OSX.Leverage.A zit gewoon in XProtect (bijna geheel beneden aan in de lijst te vinden). Als het inderdaad dezelfde is, dan is er geen probleem want MacOS moet het dan herkennen. Tenzij er sprake is van een nieuwe variant, dan zal vanzelf een update worden uitgerold. Op het moment van schrijven was XProtect nog niet bijgewerkt.
25-07-2017, 14:28 door Anoniem
Aanval is te stoppen via de browser Firefox.
Installeer User Agent Overrider en selecteer na aanklikken extensie: Google Chrome als browser.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.