image

Trojaans paard voor Mac OS X vermomt zich als foto

woensdag 18 september 2013, 10:57 door Redactie, 1 reacties

Een nieuw Trojaans paard voor Mac OS X dat onder andere een afbeelding van het Syrian Electronic Army downloadt, doet zich voor als een foto. De malware die bij tenminste één Mac-gebruiker werd aangetroffen, wordt waarschijnlijk via gerichte aanvallen verspreid.

Het exacte verspreidingsmechanisme is echter onbekend. Het Trojaanse paard is een applicatie die zich als een foto vermomt. De .app extensie die aangeeft dat het om een applicatie gaat staat standaard in Mac OS X uitgeschakeld. In sommige gevallen zal Gatekeeper, de beveiliging van Apple om kwaadaardige apps te weren, een waarschuwing geven als de app bijvoorbeeld via het internet is gedownload.

Backdoor

In het geval de kwaadaardige app direct op een USB-stick is gezet, zal deze waarschuwing niet verschijnen, aldus Mac-beveiliger Intego. Als de gebruiker de kwaadaardige app opent, krijgt die een afbeelding te zien, terwijl het Trojaanse paard zich in de achtergrond installeert en een permanente backdoor opent.

De malware stuurt allerlei informatie over het systeem naar de Command & Control-server van de aanvallers. Daarnaast wordt er een afbeelding van het Syrian Electronic Army gedownload. Het is echter onbekend of de Trojan door deze groep van hacktivisten is ontwikkeld en of de malware tegen Syrische activisten of organisaties is ingezet.

Image

Reacties (1)
18-09-2013, 14:39 door Anoniem
Flauwe 'Grap' maar het werkt 'iedere keer' weer.

Dit is wederom in variatie een Combinatie van :

- 'Verbergen' van èchte File Extensie
- Misleiding door gebruik andersoortig File-Icoon (je kan ook eenvoudig een Folder Icoon op een Fotofile zetten bijvoorbeeld)
- Misleiding door Bestandsnaam, het lijkt een Nikon Camera foto bestand maar is een App(lication), (ben benieuwd naar de Metadata van het ingesloten foto-file-icoon)
- Misbruik schrijfrechten van Lokale User op Shared Folder en de Lokale LaunchAgents Folder
- Misbruik Startup of Launch Items

Tegen dit soort aanvallen misleidingen kan je nog wel eenvoudig wat zelf doen :

- Opletten!
Kijk anders eerst onder file-Info van het betreffende file voordat je het opent; activeer file door het één keer aan te klikken / te selecteren en druk dan gelijktijdig de "cmd-toets i-toets" in.

- Extensie Weergave aanzetten in Finder Voorkeuren
- Niet standaard werken onder Admin Account
- (File / Folder) Sharing opties in Systeem Voorkeuren doornemen
- Permissies Wijzigen op je Shared Folder en Lokale LaunchAgents folder naar alleen Leesrechten voor "EveryOne" of alléén Leesrechten voor de Lokale User zelf (alléén op de folder toepassen en Niet op de ingesloten onderdelen)
Consequentie is wel dat voor het plaatsen van files (of wijzigingen) in de Shared folder of LaunchAgents folder een admin wachtwoord dient te worden opgegeven *
- Login Items van je Account wijzigen / doornemen onder Systeem Voorkeuren
- Firewall Instellen, Extra Firewall overwegen, Specifieke Poortblocking of Programma Whitelisting toepassen
- Antiviussoftware installeren

- Eventueel een Waarschuwingsscript voor wijzigingen zetten met Script Utility op belangrijke folders

* Pas op met Permissie Wijzigingen!
Pas ze niet toe op mappen voordat je weet of dat grote (negatieve) consequenties heeft.
Als je niet weet wat je aan het doen bent activeer dan sowieso nooit de optie" toepassen op ingesloten onderdelen".
Schrijf wijzigingen die je maakt op zodat je het later ook weer ongedaan kan maken.
Pas niet zomaar Permissie Wijzigingen toe op een Harddisk, Systeemmap, Programmamap, of andere Systeem Libraries of User Account Libraries, voordat je het weet start je systeem niet meer op of kan je niet meer inloggen.

! Problematische Permissie Wijzigingen worden niet zonder meer eenvoudig hersteld met gebruik van Disk Utility.
Eventuele Big Trouble gegarandeerd als je loopt te 'klooien' met permissies !!!
;-(

Voor wie interesse heeft in een nadere uitleg,
vraag maar / laat maar weten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.