image

Nieuwe Mac-malware MaMi verandert dns-instellingen

vrijdag 12 januari 2018, 16:43 door Redactie, 4 reacties

Beveiligingsonderzoeker Patrick Wardle heeft een nieuw malware-exemplaar voor macOS ontdekt die dns-instellingen van besmette computers wijzigt, een rootcertificaat installeert, screenshots kan maken, bestanden kan downloaden en uploaden, commando's kan uitvoeren en andere zaken kan doen.

De malware wordt MaMi genoemd en werd op het moment van de ontdekking door geen enkele virusscanner op VirusTotal gedetecteerd. Dit is de online virusscandienst van Google waar gebruikers verdachte bestanden door zo'n 60 verschillende anti-virusengines kunnen laten scannen. De app die MaMi bevat is niet gesigneerd, wat inhoudt dat gebruikers bij het openen een waarschuwing te zien krijgen. Als gebruikers de malware toch uitvoeren zal die de dns-instellingen aanpassen en een rootcertificaat installeren.

Op deze manier kan het verkeer van slachtoffers worden onderschept en aangepast, zonder dat die een waarschuwing te zien krijgen. Een aanvaller kan zo inloggegevens stelen of bijvoorbeeld advertenties in het webverkeer injecteren. Hoe MaMi zich precies verspreidt is onbekend, maar Wardle vermoedt dat er van social engineering gebruik wordt gemaakt. In een analyse van de malware laat Wardle zien hoe gebruikers kunnen achterhalen of ze besmet zijn. In dit geval zijn er andere dns-servers ingesteld.

Volgens de onderzoeker gaat het zeer waarschijnlijk om nieuwe Mac-malware. Het aanpassen van de dns-instellingen en het installeren van een rootcertificaat is niet nieuw. Vorig jaar werd een malware-exemplaar met dezelfde eigenschappen ontdekt die was ontwikkeld om gegevens voor internetbankieren te stelen.

Reacties (4)
12-01-2018, 21:10 door Anoniem
De malware wordt MaMi genoemd en werd op het moment van de ontdekking door geen enkele virusscanner op VirusTotal gedetecteerd.
Klopt, de detectie is vandaag wat op gang gekomen (12/1/2018), maar dat zal de eerstkomende dagen wel verbeteren.
https://www.virustotal.com/#/file/5586be30d505216bdc912605481f9c8c7bfd52748f66c5e212160f6b31fd8571/detection
12-01-2018, 21:44 door Anoniem
Vervelende vent die zich steeds meer als troll begint te gedragen

Op zijn eigen site
2018 is barely two weeks old, and already it looks like we've got new piece of macOS malware! Hooray :)
Hoera?

Een hoera omdat hij zijn zin niet kreeg?
Meneer is vermoedelijk nogal in zijn wiek geschoten dat Apple geen hoogstpersoonlijke uitzondering voor Wardle maakt in haar policies.
De strategie is dan ook veranderd, hakken en insinueren
Lees dit artikel maar kritisch op alle quotes van wardle.
http://www.zdnet.com/article/ohio-hacker-indicted-fruitfly-malware-spy-on-thousands-of-mac-users/
Tenenkrommend.

Naïef gedrag tegen beter weten in, het is bekend dat Apple terughoudend is maar wardle legt dat anders uit zonder te onderbouwen.
Onjuiste voorstelling van zaken door een campagne aan te halen die er al meer dan 5 jaar niet meer is.
Het een hardop zeggen en tegelijkertijd het omgekeerde insinueren aangaande verantwoordelijkheden van Apple.
Op de stoel van de rechter gaan zitten maar het eigen gedrag bij de voormalige werkgever en het gedrag van die werkgever zelf volledig buiten beschouwing laten alsook de vergelijkende reikwijdte van bijvoorbeeld de fruitfly malware besmetting en het opereren van hem en zijn voormalige werkgever .

Het is niet raar dat Apple geen trek heeft in zo's onberekenbaar person als het gaat om mogelijke samenwerking.
De desinteresse van veel gebruikers in security heeft niet te maken met een oude marketingcampagne maar mogelijk veel meer met de onjuiste vervelende negatieve ruis die av bedrijven produceren uit eigenbelang.
Zij blijven beweren wat Apple al meer dan 5 jaar niet meer beweert.

Wardle heeft een commercieel bedrijf, moet geld in het laatje brengen en dus continue de spotlights zoeken.
Het voordeel is dat hij inderdaad zaken weet te vinden.
Het nadeel is alle ruis die hij produceert en buitengewoon averechts werkt; negatieve ruis met suggestieve onjuistheden motiveert niet om interesse in het voor veel mensen vervelende onderwerp security te verhogen.

Het wekt geen vertrouwen.
Wat ook niet heel sterk is om anderen publiek te veroordelen en zwart te maken door pervers te noemen terwijl je zelf een ex NSA medewerker bent.
Dat zijn er meer, maar waar Snowden bijvoorbeeld wel weet te overtuigen lijkt Wardle als het even kan toch meer zijn oude broodheer te willen verdedigen en trappen naar het merk dat je onderzoekt helpt natuurlijk niet echt in de gewilde samenwerking met de producent ervan.

Netto resultaat: aardig dat hij wat gevonden heeft en geef de rest van de wardle portie maar aan fikkie (waarbij het fikkie vrij staat om er ook geen brood van te lusten, terecht.)

Plus de netto verspreiding van malware zodat anderen er weer hun nadeel (voor ons) mee kunnen doen.
En bedankt.


Oudekoeklink voor de neuzelaars
https://www.computerworld.com/article/2597468/operating-systems/apple-finally-admits-macs-can-get-viruses---well--almost-admits-it.html
13-01-2018, 08:40 door Anoniem
Dus je moet met admin rechten een bestand openen nadat je een waarschuwing hebt gekregen dat het niet veilig is om het bestand te openen. Stel dat een virusscanner dat wel gedetecteerd had en je als gebruiker, tegen alle waarschuwingen in, toch dat bestand had geopend dan had je toch het zelfde effect gehad.

Oh, als dan de alarm bellen nog niet afgegaan zijn heb je gewoon recht op ellende.

Clickbait, niet meer en niet minder.
15-01-2018, 10:51 door Anoniem
Ook zo iets, iemand die een license crack app'je installeerd op z'n mac en verbaast is dat de mac besmet is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.