image

Mac-malware doet zich voor als Microsoft Word-document

maandag 26 juni 2017, 10:28 door Redactie, 15 reacties

Een nieuwe variant van een Mac-backdoor die in 2015 voor het eerst werd ontdekt doet zich voor als een Microsoft Word-document om gebruikers te infecteren. Hoe de malware precies wordt verspreid is op dit moment nog onbekend, maar onderzoekers denken dat het via e-mail gebeurt.

De malware zit in een zip-bestand verborgen. Zodra het zip-bestand is uitgepakt ziet de gebruiker een directory met daarin een bestand dat een Word-document eindigend op .docx lijkt te bevatten. In werkelijkheid is het bestand echter een applicatiebundel die uitvoerbare code bevat. Hiervoor laat de aanvaller het besturingssysteem geloven dat het om een applicatiebundel gaat, aldus securitybedrijf Palo Alto Networks.

Zodra de applicatiebundel is gestart wordt een met een wachtwoord beveiligd Word-document geladen. In de achtergrond wordt echter ook de OceanLotus-backdoor geïnstalleerd. Apple heeft inmiddels al een update voor de in macOS aanwezige virusverwijdertool XProtect uitgebracht om de malware te detecteren.

Image

Reacties (15)
26-06-2017, 10:49 door Anoniem
Ik heb nog nooit een mac aangeraakt, maar betekent dit dat mac ook standaard bestandsextenties verbergt?
26-06-2017, 12:00 door Ron625
Is er dan geen wachtwoord noodzakelijk, om software te installeren?
Dit is juist één van de basis beveiligingen van BSD.
26-06-2017, 13:01 door Anoniem
Door Anoniem: Ik heb nog nooit een mac aangeraakt, maar betekent dit dat mac ook standaard bestandsextenties verbergt?

Het is inderdaad een opt-in functie. Standaard staat het dus uit.
26-06-2017, 13:19 door Anoniem
Door Ron625: Is er dan geen wachtwoord noodzakelijk, om software te installeren?
Dit is juist één van de basis beveiligingen van BSD.

Natuurlijk wel.
26-06-2017, 13:21 door Anoniem
Door Anoniem:
Door Anoniem: Ik heb nog nooit een mac aangeraakt, maar betekent dit dat mac ook standaard bestandsextenties verbergt?

Het is inderdaad een opt-in functie. Standaard staat het dus uit.

Standaard laat macOS de extentie zien.
26-06-2017, 13:49 door karma4 - Bijgewerkt: 26-06-2017, 13:50
Door Anoniem:
Door Anoniem:
Door Anoniem: Ik heb nog nooit een mac aangeraakt, maar betekent dit dat mac ook standaard bestandsextenties verbergt?

Het is inderdaad een opt-in functie. Standaard staat het dus uit.

Standaard laat macOS de extentie zien.
https://support.apple.com/kb/ph19072?locale=en_US
Filename extensions are usually hidden in macOS, but if you find them useful, you can show them. If extensions are hidden, macOS still opens files with the proper apps.
Dat is wat Apple er zelf van zegt.
26-06-2017, 13:50 door Anoniem
Door Anoniem: Standaard laat macOS de extentie zien.

https://support.apple.com/kb/PH22182?viewlocale=en_US&locale=en_US

Filename extensions are usually hidden in OS X, but if you find them useful, you can show them.
26-06-2017, 13:58 door Briolet
Door Anoniem: Ik heb nog nooit een mac aangeraakt, maar betekent dit dat mac ook standaard bestandsextenties verbergt?

De mac kan een extensie verbergen als je dat instelt, maar dat is hier niet aan de orde. De extensie hier is daadwerkelijk 'docx.

Een applicatie op een mac is niets anders als een folder met de extensie .app Zo'n folder laat de mac richting gebruiker als een enkele file zien. In dit geval is het een folder met de extensie .docs en wordt er een truukje toegepast om dit toch als een container weer te geven.

Op de mac is het mogelijk om ervoor te zorgen dat een zelf gedefinieerde extensie op een folder er een container van maakt door bepaalde code in de info.plist te plaatsen. Die info.plist zit ook in de container, gezien het screenschot, maar het is vreemd dat dit gebruikt wordt voor een container zonder .app extensie. Op zich jammer dat de auteur niet aangeeft hoe dit deel berijkt is.
26-06-2017, 14:06 door [Account Verwijderd]
Door Anoniem:
Door Anoniem:
Door Anoniem: Ik heb nog nooit een mac aangeraakt, maar betekent dit dat mac ook standaard bestandsextenties verbergt?

Het is inderdaad een opt-in functie. Standaard staat het dus uit.

Standaard laat macOS de extentie zien.

Neen.

https://support.apple.com/kb/PH25381?locale=nl_NL&viewlocale=nl_NL

...en als we helemaal gaan muggenziften het betreft hier niet Mac OS maar OSX.
In (classic) MacOs was de onzichtbare filetype/creator de bestands ID. Deze kreeg je zichtbaar in Res-Edit. bijvoorbeeld: ttro/TEXT was een read-only SimpleText document
26-06-2017, 16:03 door Briolet
Door Aha:...en als we helemaal gaan muggenziften het betreft hier niet Mac OS maar OSX.

Nu wil ik niet muggen gaan zeven, maar sinds Sierra is de officiële benaming geen OSX meer maar macOS.
26-06-2017, 16:20 door Briolet
Door karma4:
Door Anoniem:Standaard laat macOS de extentie zien.
https://support.apple.com/kb/ph19072?locale=en_US
Filename extensions are usually hidden in macOS, ….

De oorzaak van verwarring zijn misschien de verschillende levels van hidden extensie.

- Per file kun je instellen of de extensie hidden moet zijn. Per default heb ik nog nooit een extensie gezien als je zelf een nieuwe file opslaat. Bij files die je van anderen krijgt, kan al ingesteld zijn om de extensie te laten zien. Dus dat telt niet.

- Globaal kun je in de finder voorkeuren ook instellen om alle extensies te laten zien. Dit overruled de per-file instelling.

- En sommige extensies blijven altijd hidden, ondanks de instelling. b.v. de "app" extensie van programma's.

Voor dit topic is dit niet relevant, want er werd geen extensie verstopt.
26-06-2017, 17:20 door Anoniem
Juni "MS-Word" phishingmaand voor de Mac

Niet de eerste namelijk, het was met de start van deze maand direct al raak.
Dat weet de redactie ook wel maar die doet niets met tips als een ander medium er niet al over geschreven heeft zodat dat nieuws is te recyclen.
Andere media missen wel eens wat.

- Per file kun je instellen of de extensie hidden moet zijn.
correctie:
Per programma dat het file opslaat, kijk bijvoorbeeld maar naar textedit en het 'op-sla-window' (wel of geen vinkje bij de extra optie onderaan).

Maarrr
Extensieweergave is niet zo heilig, omdat

- je kan klooien met extensieweergaves door bijvoorbeeld een spatie achter de extensietext te zetten
- je Mac de weergave van het symbooltje van standaard files baseert op de extensie naam en niet op de code in het document.
Zo kan je een text document de extensie .jpg geven en je mac vertelt je dat het een jpg-plaatje is terwijl dat niet zo is.
- je kan klooien met het icoon van een bestand, je kan heel eenvoudig zelf
een ander icoon toekennen aan een bestand waardoor een zip bestand ineens het icoon heeft van een office document of een afbeelding.

Geen sterk systeem, daar kan best een security tandje bij omdat er nu vaker(weliswaar iets) misbruik van "Word" gemaakt.

Apple moet ...!
Apple moet hier een oplossing voor gaan vinden.
Bijvoorbeeld dus omdat het de laatste tijd een beetje raak is.
Er verschijnen namelijk (weliswaar heel mondjesmaat) de laatste tijd diverse varianten van al bestaande malware exemplaren die gebruikmaken van Word documenten.

Die komen dan via de email en bijvoorkeur in een zip.
De zip heeft een icoon van een Word document en ziet er zonder extensieweergave en met icoonweergave (in plaats van lijstweergave) in je downloadsmap overtuigend uit.

Die truc is al mogelijk sinds OS X bestaat (± 2000) maar is nu 'ontdekt'/opgepikt.

Wat ook helpt is de weergave van je bestandenmappen)[/i] op lijstweergave zetten en daarna ook de lijstweergave-eigenschappen voldoende kolommen laten hebben opdat dan ook het soort bestand wordt weergegeven.
Dan zie je zelfs bij geen extensieweergave met een nep-Word bestand dat eigenlijk een zip is dat het een "Zip-archive" is.

Maar het blijft oppassen, de icoon-connectie is visueel gewoon heel sterk en verleidelijk.
Simpeler is om heel alert te zijn bij bijgevoegde bijlagen in je email.

Virusscanner de oplossing?
Nou niet echt, het kan gunstig uitpakken maar ook niet.
Begin juni ging er een ander 'Word' document rond, een variatie op de .dok/spy 2017 malware (give it a name and they do : "OSX/Agent_c.NP Mac.BackDoor.Dok.10 a variant of OSX/Spy.Dok.A HEUR:Trojan-Spy.OSX.Aptordoc.b OSX/DokSpy-A HEUR:Trojan-Spy.OSX.Aptordoc.b,.............. etc.etc. namen voor 1-zelfde exemplaar. Zo lijkt de dreiging ook weer groter niewaar?)

Hoeveel namen je er ook aan geeft, het duurde twee weken voordat er nog geen 20 van de 50 av scanners het detecteerde.
Op de eerste VT upload dag waren het er zegge en schrijve 6.
Had je geluk als je de betreffende av scanner had en de twee weken erna pech als je een andere had.
Met andere malware (if any) exemplaren is het niet veel beter gesteld.
AV, aardig maar vertrouw er niet te veel op en betaal er al helemaal niet (teveel) voor.

Gelukkig
Gelukkig scannen providers al wel voor je en nog gelukkiger de eigenaren van de webmail die veel gebruikers gebruiken.
Helaas is de ene webmaildienst de andere niet.
Sommigen komen bijzonder slecht uit de bus en laten dit soort bijlagen gewoon door waar anderen het op zijn minst wel in de spambox hadden geplaatst.

Devies : ietsje beter gaan opletten!
Omdat de kans ietsje groter wordt dat je dit soort onzin via de mail krijgt.
Maar dan nog heb je meestal nog wel voldoende indicatie daarna dat er iets niet in de haak is als je het hebt aangeklikt en lijk je er misschien niet uit te kunnen ontsnappen maar die mac kan altijd nog uit.

Voorzover te overzien misbruiken de diverse malware exemplaren die ik heb gezien de (lokale) opstartitems lijst.
Je Mac gewoon weer opstarten activeert de malware dan weer.
Maar met een safe boot zou je dat moeten kunnen omzeilen en zou de malware op zijn minst eenvoudig uit die lijst verwijderd kunnen worden zodat het in ieder geval niet actief is als je de Mac daarna weer opstart.

Dat is dan al een begin.
Zoek maar op, huiswerk : Safe Boot Mac.

Zelfhulpvaardigheid loont nog
Zoals Palo alto stelt
Most macOS malware in the wild today are not very complex, but threat actors have been quickly improving their tradecraft.
De eerste misstap is een daalder waard!
Het grootste gevaar zit hem in het begin, openen van een bestand en het opgeven van je adminpassword. Niet doen dus.
En gelukkig werk je in ieder geval niet meer standaard onder je admin account,
toch?
26-06-2017, 20:56 door Anoniem
NIEUWSTE Office Mac+Windows malware

Vers van de pers vanmiddag begonnen.
Men gokt nu op Windows en MacOS en Mac OS X tegelijk met twee mailbijlagen tegelijkertijd in een bericht.

- Windows malware
Een docx bestand voor Windows users
https://www.virustotal.com/en/file/0e5e505d3d4ccff6a49a4fff15a156f40041afef60088a633751771c7fcb2750/analysis/
Detection ratio vanmiddag 12 uur 5 op 59 en 8 uur later nog steeds 5.

Klikken op een embedded pdf plaatje in het word doc moet een object openen maar krijg niet inzichtelijk welke link het wil openen.
Het is ook Windows malware en geen mac malware.

- Mac malware
Een zip met daarin een bestand met word icoon dat zoals inmiddels in juni raak is wederom een app betreft.
https://www.virustotal.com/en/file/733618376424b81ecc487140e684c396a205037d07e0ea8a22cf76a13e4bd00f/analysis/
Detection ratio vanmiddag 12 uur 7 op 58 en 8 uur later 14.
Weer met een geldig apple certificaat.

Men doet het wat sneller nu dan andere varianten van deze malware begin deze maand maar kijk naar de lijst en je ziet een aantal hele grote afwezigen bij het herkennen van deze malware (f-secure, malwarebytes, en 44 anderen)
Het betreft wederom een variant op deze hieronder waarvan apple 2 varianten heeft geblokkeerd in xprotect maar deze vast nog niet omdat ze van vandaag is.
https://www.macrumors.com/2017/04/28/mac-malware-apple-certificate-https-traffic/
https://eclecticlight.co/2017/04/28/new-macos-malware-osxdok/
https://www.alienvault.com/blogs/labs-research/macspy-os-x-rat-as-a-service

Deze Mac Malware richt zich overigens op Mac OS X 10.9 en hoger (dat zegt VT niet maar zie ik wel).
Hopelijk heeft Apple een abonnement op Virustotal om zo snel misbruikte developer certificaten in te trekken.
27-06-2017, 18:06 door Anoniem
Dan zit Apple fout met de bewering dat bestandextensies standaard NIET zichtbaar zijn, ik heb een nieuwe installatie gedaan zonder oude settings te importeren. Terminal geopend en een touch Documents/test.txt gedaan, Finder laat gewoon de .txt extensie zien.
27-06-2017, 20:08 door Anoniem
Door Anoniem: Dan zit Apple fout met de bewering dat bestandextensies standaard NIET zichtbaar zijn, ik heb een nieuwe installatie gedaan zonder oude settings te importeren. Terminal geopend en een touch Documents/test.txt gedaan, Finder laat gewoon de .txt extensie zien.

Los van de vraag wat exact je opnieuw hebt geinstalleerd.

Zoals eerder gemeld in dit topic is dat afhankelijk van hoe je dat bestand hebt opgeslagen.
Kijk nog eens goed welke mogelijkheden je hebt bij het opslaan van je test.txt via bijvoorbeeld textedit.app
Waarschijnlijk met de extra optie aangevinkt.

De Word malware die rondgaat laat niet ten alle tijde de .zip extensie zien en dat is precies de bedoeling.
Van hullie dan, niet van Apple, dat moeten ze fixen na 17 jaar, simpel en gewoon: extensieweergave standaard aanzetten in plaats van uit.

Geen heilige security graal maar toch wel beter van wel.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.