Mac-gebruikers in het Midden-Oosten zijn het doelwit van een gerichte aanval geworden waarbij een nieuwe techniek wordt ingezet, zo laat onderzoeker Taha Karim van securitybedrijf Dark Matter tegenover zakenblad Forbes weten. De slachtoffers bevinden zich in de Samenwerkingsraad van de Arabische Golfstaten, die Bahrein, Koeweit, Oman, Qatar, Saoedi-Arabië en Verenigde Arabische Emiraten omvat.
De aanvallers stuurden doelwitten een spearphishingmail die een link naar een website bevat. Deze website probeert een zip-bestand met de malware te installeren, zo laat de onderzoeker weten. Safari zal het bestand automatisch uitpakken en macOS zal automatisch een zogeheten "url-scheme" van de malware registreren. Bekende url-schemes zijn http:// en ftp://. Applicaties kunnen echter ook een eigen url-scheme registreren. Bijvoorbeeld het Steam-platform heeft het url-scheme steam://. Via dit url-scheme kunnen Steam-games worden gestart.
De website waarvandaan de malware is gedownload zal nu een request doen via het net geregistreerde url-scheme om de malware te starten. Het slachtoffer moet de website wel lang genoeg openhouden nadat hij het zip-bestand heeft geïnstalleerd, anders krijgt de malware niet de gelegenheid om te werken.
Daarnaast laten de nieuwste versies van Safari een waarschuwing zien die vraagt of de gebruiker het net geregistreerde url-scheme wil starten. Wanneer de gebruiker dit toestaat verschijnt er een waarschuwing van Apples Gatekeeper-beveiliging die vraagt of de gebruiker de bestanden echt wil installeren. Het is echter mogelijk voor aanvallers om de inhoud van de melding die Safari laat zien te manipuleren.
Zodra de malware actief is stelen de aanvallers documenten en maken screenshots van de desktop van het slachtoffer. Karim stelt dat hij Apple over de aanvallen heeft ingelicht, maar het is onduidelijk of het bedrijf maatregelen heeft getroffen. De onderzoeker presenteert zijn onderzoek vandaag tijdens de Hack In The Box-conferentie in Singapore.
Deze posting is gelocked. Reageren is niet meer mogelijk.