Mac-gebruikers via Firefox-lekken besmet met backdoor
Een nog onbekende aanvaller heeft twee zerodaylekken in Firefox gebruikt om Mac-gebruikers met malware te infecteren. Het gaat om dezelfde twee kwetsbaarheden die werden gebruikt bij de aanval op cryptobeurs Coinbase. Mac-onderzoeker Patrick Wardle werd een kleine week geleden benaderd door een Mac-gebruiker die via de Firefox-zerodays was aangevallen.
De aanvaller had het slachtoffer een e-mail gestuurd die naar een website linkte. Deze website bevatte een exploit die misbruik maakte van de kwetsbaarheden in Firefox om een backdoor op het systeem te installeren. Er was geen verdere interactie van het slachtoffer vereist. De backdoor in kwestie werd ook aangetroffen bij de aanval op cryptobeurs Coinbase. Deze backdoor was op 6 juni al naar de online virusscandienst VirusTotal geüpload. Op het moment dat Wardle de malware onderzocht werd die alleen door de antivirussoftware van Tencent herkend.
Het bleek om een malware-exemplaar te gaan dat overeenkomsten had met de Mac-malware Netwire (Wirenet) die in 2012 voor het eerst werd ontdekt en wachtwoorden op besmette systemen probeerde te stelen. Apple bracht in 2016 een update uit voor de in macOS ingebouwde antivirussoftware XProtect om malware genaamd Netwire te detecteren. Deze update bleek ook de nieuwe malware van vorige week te herkennen. Toch raakte de gebruiker die Wardle benaderde geïnfecteerd.
De gebruiker stelde dat de Gatekeeper-beveiliging van macOS werd omzeild. Volgens Wardle is dit niet verrassend, aangezien de malware via een zerodaylek werd geïnstalleerd. Gatekeeper controleert alleen applicaties die van een quarantaine-attribuut zijn voorzien. Dit attribuut wordt alleen door de applicatie, bijvoorbeeld de browser, of het besturingssysteem toegevoegd als het bestand op een normale manier is gedownload. In het geval van een exploit die de malware downloadt wordt het quarantaine-attribuut niet toegevoegd en zal Gatekeeper niet in actie komen.
Coinbase had al laten weten dat meerdere organisaties via de Firefox-zerodays waren aangevallen, maar noemde geen namen. Verdere details over de aanval of aanvallers zijn nog niet bekend. Wardle komt binnenkort met meer informatie over de malware die bij de aanval is ingezet.
1. Altijd je applicatie software zo snel mogelijk updaten, zeker bij een kwetsbaarheid.
2. Altijd het OS zelf up-to-date houden.
3. Altijd een virusscanner gebruiken, mocht XProtect falen.
4. Nooit en te nimmer op een LINK klikken in een e-mail.
In de AppStore is een gratis on-demand scanner van Bitdefender te dowloaden en te installeren voor Mac-gebruikers.
Leer je af om links te klikken vanuit je email en installeer minimaal noscript in Firefox en niemand die je wat kan doen.
De gebruiker stelde dat de Gatekeeper-beveiliging van macOS werd omzeild. Volgens Wardle is dit niet verrassend, aangezien de malware via een zerodaylek werd geïnstalleerd. Gatekeeper controleert alleen applicaties die van een quarantaine-attribuut zijn voorzien. Dit attribuut wordt alleen door de applicatie, bijvoorbeeld de browser, of het besturingssysteem toegevoegd als het bestand op een normale manier is gedownload. In het geval van een exploit die de malware downloadt wordt het quarantaine-attribuut niet toegevoegd en zal Gatekeeper niet in actie komen.
Wat is dit voor een design beslissing?
Leer je af om links te klikken vanuit je email en installeer minimaal noscript in Firefox en niemand die je wat kan doen.
"niemand"?
Ho,stop!
Leer absoluut aan om nooit 'nooit' te zeggen m.b.t. de onbegrensde mogelijkheden in de digitale wereld,
want...
Black hats zijn net zo sluw als fatsoenlijke mensen slim zijn.
Leer je af om links te klikken vanuit je email en installeer minimaal noscript in Firefox en niemand die je wat kan doen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
