Windows-malware pakt Macs
Deze innovatie op cybercrimegebied is ontdekt door securityleverancier Trend Micro. Onderzoekers van dat bedrijf hebben een Mac-app aangetroffen op diverse torrentsites, waarbij het een Trojan bleek te zijn die dus verborgen code mee naar binnen bracht. macOS heeft weliswaar ingebouwde security om uitvoerbare bestanden te controleren op digitale handtekeningen en daarmee op validiteit. Die basale beveiligingsfunctionaliteit van Apple's GateKeeper checkt echter alleen macOS-bestanden.
Kant-en-klare code-bundel
De Trojan-download die zich voordoet als de populaire Mac-firewall Little Snitch heeft daarom dan ook een Windows-exe aan boord. In combinatie met het Mono-framework valt dat uit te voeren op macOS, waarbij dan Apple's controle wordt vermeden. Trend Micro meldt dat het deze .exe-bestanden 'in the wild' heeft aangetroffen, waarbij die onder verschillende bestandsnamen via torrentsites worden aangeboden.
Dit zijn dan gecomprimeerde bestanden (.zip) die na uitpakken een Mac-diskbestand (.dmg) opleveren waarin dan de installer voor de Trojan zit. De zip-bestanden hebben diverse namen van bekende Mac-apps, zoals Paragon NTFS for macOS, Wondershare Filmora, LennarDigital Sylenth1, en het al genoemde Little Snitch. Inspectie van de download heeft geleid tot de ontdekking van een submap waarin een Windows-exe staat compleet met het Mono-framework.
Adobe Flash
Het starten van de Mac-installer zorgt ook voor lancering van het framework en daarlangs uitvoering van de meeliftende Windows-exe. Zodra de .exe actief is op macOS verzamelt het informatie over de Mac waarop het draait, waaronder geïnstalleerde apps. Deze data wordt doorgegeven aan een command&control-server van de malwareverspreiders. Ook downloadt de malware dan meer malafide code, die het verbergt in een temp-map van macOS. Dit zijn dan .dmg-bestanden die zich bijvoorbeeld voordoen als installer voor Adobe's Flash Player.
Opvallend genoeg blijkt de ontdekte malware niet te werken op Windows: Trend Micro's poging hiertoe levert een foutmelding op. "We denken dat de cybercriminelen [achter deze Mac-Trojan - red.] nog bezig zijn met het besturderen van de ontwikkeling en kansen van deze malware gebundeld in apps die beschikbaar wordt gemaakt op torrentsites", aldus de security-onderzoekers in hun blogpost. Momenteel zijn er de meeste infecties in Groot-Brittannië, Luxemburg, Zuid-Afrika, Armenië, Australië en de Verenigde Staten.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee