Apple-fans gewaarschuwd voor 'Kumar in de Mac'
Na 'Man in de Middle', 'Man in de Browser' en zelfs 'Boy in de Browser' is er nu een nieuwe dreiging waar Apple-fans rekening mee moeten houden, namelijk 'Kumar in de Mac'. Dit verwijst naar de recent ontdekte Mac-spyware genaamd 'Filesteal' en 'Hackback', die met een geldig Apple Developer ID was gesigneerd. De malware werd ontdekt op de Mac van een Angolese activist.
Die deed mee aan een workshop over het beveiligen van zijn computer. De malware maakt screenshots van de desktop en stuurt die naar een remote server. Vandaag werd bekend dat een andere variant van de spyware zich als kerstkaart voordoet.
Gatekeeper
Beide varianten zijn voorzien van een Apple Developer ID dat aan 'Rajinder Kumar' was toegekend. De Gatekeeper-beveiliging in Mac OS X Mountain Lion en Mac OS X Lion, die bepaalt welke programma's mogen worden uitgevoerd, staat standaard zo ingesteld dat applicaties van de Mac App Store en geïdentificeerde ontwikkelaars worden toegestaan.
Mac-gebruikers die niet actief software installeren krijgen van Sean Sullivan van het Finse F-Secure het advies om de standaardinstelling te wijzigen, zodat alleen apps van de App Store toestemming krijgen.
Inmiddels heeft Apple het Developer ID van Kumar ingetrokken, maar met het aanpassen van de instelling zou de malware niet zijn uitgevoerd toen het Developer ID nog wel geldig was. Volgens het Noorse anti-virusbedrijf Norman is de malware door een groep Indiase cyberspionnen ontwikkeld.
En indien deze aanwezig is hoe haal je 'hem' er dan uit?
En aangezien de echte meneer Kumar ook echt (niet malware) apps heeft ontwikkeld, hoe herken je wat echt is en wat niet?
Bijvoorbeeld :
www.security.nl/artikel/45338/1/Virusscanner_had_Microsoft_en_Apple_kunnen_redden.html
(Niets meer van gehoord overigens en Apple bestaat ook zonder de scanner-hulp nog).
Standaard best practice tips dan maar :
in de reacties onder dat artikel nog wat veiligheidstips te vinden over 'toevallig' ook het openen van verborgen apps in bijvoorbeeld zip bestanden.
Echt weinig nieuws (ja het id en dat is niet uitgewerkt), is dit een vermelding virus waardig?
Hoog social engineering gehalte : kerstkaartjes / modellen / hele riedel al in zips en nieuws daarover voorbij zien komen.
2) Afbeeldingen goed bekeken op de site van betreffend virusbedrijf? :
Joe werkt in ieder geval onder het Admin account, Current User is een Admin user. Om zeker te weten dat infectie van de Mac dan zou slagen?
Of is werken onder een standaard account te -(secure)?
3) Na drie (!) berichten over een verpakt zipje had ik wel gehoopt dat de analyse wat meer om het lijf had gehad.
Interessanter is het het app-je zelf (package contents) verder te analyseren :
- was het niet mogelijk de gebruikers zelf eens te vragen waar hij/zij de app vandaan had en al dan niet bewust geïnstalleerd?
- van wie is dat developer id dan? Zoekresultaten geven wel een naamvariatie Rajendra i.p.v. Rajindra (schept ook verwarring bij journalisten die erover schrijven).
- wat is het voor app-je, screenshot app? (die er wat extra vrijwillig bijklust?)
- moet je het zelf installeren? (m.b.v. social engineering?)
- maakt het gebruik van java?
- werkt het ook onder een regulier account met verminderde rechten of vereist het nog steeds actieve toestemming?
- al opgevallen dat het virus elders weer matig intelligent is aangepakt?
De app is gewoon in het lokale user account 'gedropt' ( ~/Users/joe/macs.app ).
Er is niet eens de moeite genomen de MacApp directory in het lokale user account te verbergen (kwestie van een puntje voor de naam, dat staat de Mac-beveiliging echter niet zomaar toe, voorbehouden aan het systeem zelf, dus geïnstalleerd zonder systeem rechten? En zelfs onder het admin account niet kunnen verbergen?).
Vond het nieuws over gehackt Apple/ Facebook etc. stukken interessanter (stil).
* Nuchtere "Mac gebruikers" hebben geen 'fan-label' nodig om dit 'nieuws' van tafel te blazen / zuchten.
.
Maar ook ik zou graag antwoorden willen hebben op anonniem@16:48 zijn/haar vragen.
Ook OS X kan virussen ontvangen.
Ook OS X kan virussen ontvangen.
Leuk voor jou, maar je slaat de plank, in relatie met dit artikel behoorlijk, mis met deze ninja opmerking!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.