Nieuwe Mac-malware verspreidt zich via zoekresultaten — wat u moet weten

(Afbeelding tegoed: Shutterstock)

Een nieuwe soort Mac-malware die zich verspreidt via 'vergiftigde' zoekresultaten van zoekmachines, is ontdekt in China en zou zich naar andere landen kunnen verspreiden.

Om er zeker van te zijn dat je niet door dit soort dingen wordt geïnfecteerd, moet je heel voorzichtig zijn met wat je downloadt en elk gedownload bestand scannen met een van de beste Mac-antivirus programma's. U moet uw software ook zo vaak mogelijk uit de Mac App Store halen en op uw hoede zijn voor andere bronnen.



  • Cyber ​​Monday deals: bekijk nu al de beste aanbiedingen!

Zoals beschreven door Mac-beveiligingsonderzoeker Patrick Wardle in een blogpost eerder deze week werd de malware, die hij ZuRu noemt, uitgetwitterd door de Chinese onderzoeker Zhi, ook bekend als ChiChou, ook bekend als @CodeColorist . In juni hielp Zhi met het uitpuzzelen waarom bepaalde namen van wifi-netwerken schakelden iPhones uit .

tv's met atsc 3.0-tuners

Deze keer publiceerde Zhi een blogpost door een Chinese gebruiker die hadden ontdekt dat zoekopdrachten op de Chinese zoekmachine Baidu voor de Mac-app iTerm2 een kloon van de legitieme iTerm2-website opleverden. (iTerm2 is een gratis alternatief voor de standaard Mac Terminal-app.)

Bekijk meer

Mac-gebruikers die het installatieprogramma van de nep-iTerm2-site hebben gedownload, ontvingen een werkkopie van de app, die de Gatekeeper-controle doorstond en prima installeerde omdat deze digitaal was 'ondertekend' door een Apple-ontwikkelaar en door geen enkele antivirussoftware als kwaadaardig werd gemarkeerd .

De nep-app was niet 'notarieel' met een extra beveiligingsbadge die Apple toekent aan apps waarvan het heeft geverifieerd dat ze betrouwbaar zijn. (De echte iTerm2-app is notarieel bekrachtigd.) Maar ook al zal een Mac een gebruiker laten weten dat een app niet is bekrachtigd, de gebruiker kan er nog steeds voor kiezen om deze te installeren.

Er zit nog iets extra's in de nep-iTerm2-app: een 'downloader' die zelf contact opneemt met een online server en minstens twee nieuwe soorten malware installeert.

Spyware en een mogelijke achterdeur

Een van de twee nieuwe vormen van malware is een informatie-stealer die een profiel maakt van de Mac waarop hij draait, de Keychain-database van de gebruiker steelt (met wachtwoorden en andere gevoelige gegevens) en alle gegevens in een zip-bestand verpakt voordat het teruggestuurd wordt naar de dezelfde server waarvan de informatie-stealer is gedownload.

Het andere stukje malware doet zich voor als een Google Update-toepassing en wordt gedownload van een andere server. Wardle was niet in staat om dit stukje malware volledig te ontleden, dus hij weet niet precies wat het doet.

Maar hij ontdekte dat de server waarop deze zich bevindt, is gemarkeerd als host voor een illegaal exemplaar van Cobalt Strike, een legitieme penetratietesttool die criminelen hebben gekraakt en hergebruikt voor illegale middelen.

Zoals Wardle opmerkte, is het mogelijk dat deze mysterieuze nep-Google Update eigenlijk een Cobalt Strike 'baken' is, een programma dat een verborgen achterdeur op een systeem creëert zodat andere Cobalt Strike-gebruikers ze kunnen vinden.

Er is een beetje goed nieuws. Apple heeft het ontwikkelaarscertificaat ingetrokken dat werd gebruikt om het nep-iTerm2-installatieprogramma te ondertekenen, de nep-iTerm2-site is nu offline, Baidu heeft de vergiftigde resultaten van zijn zoekmachine verwijderd en een tiental van de beste Mac-antivirusprogramma's herkennen het nep-installatieprogramma nu als malware.

iphone xr en 11 maat

Maar de criminelen die hier achter zitten, hebben niet veel nodig om hun methoden te repliceren met een andere website, een andere corrupte Mac-app en een andere Mac-ontwikkelaarslicentie, die slechts $ 99 kost.

Update: Microsoft ook vervalst door Mac-malware

in een analyse van de iTerm2 Mac Trojan gepost op 30 september, ontdekten Trend Micro-onderzoekers dat de malwarecampagne ook beschadigde macOS-versies van Microsoft Remote Desktop, de SecureCRT-terminalemulator en de Navicat-databasebeheertool biedt.

defaultWidgetTitel modelCodeReviewASINLabel seizoensgebondenEvenementAftellenTitel01seizoensgebondenEventCountdownHours44seizoensgebondenEvenementAftellen Minuten33seizoensgebondenEventCountdownSecondenLage voorraad Apple MacBook Air Core... Walmart $ 849 Visie wasPricePromo Apple 13,3-inch MacBook Air... Walmart $ 1.424,92 $ 949,95 Visie 13-inch MacBook Air - Zilver appel $ 999 Visie seizoensgebondenEventMerchantsLabel Amazone Walmart Beste koop Dell hawkFooterBeschrijving