image

Jaar oude Mac-keylogger door één virusscanner gedetecteerd

dinsdag 20 februari 2018, 16:20 door Redactie, 8 reacties

Een jaar oud malware-exemplaar voor de Mac waarvan de gedeeltelijke broncode al twee jaar via GitHub is te downloaden wordt nog altijd nauwelijks door anti-virussoftware herkend. Dat ontdekte beveiligingsonderzoeker Patrick Wardle.

Wardle zocht naar een keylogger die een bepaalde techniek gebruikt om de "privacydatabase" aan te passen. Deze database bevat een lijst met applicaties die 'toegankelijkheidsrechten' krijgen. Met deze rechten kan een een applicatie bijvoorbeeld toetsaanslagen opslaan of toegang tot andere applicaties of de gebruikersinterface krijgen zonder dat de gebruiker een systeemwaarschuwing te zien krijgt.

Apple heeft inmiddels maatregelen genomen om de database te beschermen. Toch zijn er nog Mac-keyloggers die deze techniek toepassen. De zoektocht van Wardle naar een dergelijke keylogger leidde hem naar een bestand dat zich voordeed als een Apple-stuurprogramma, maar in werkelijkheid de Coldroot RAT bleek te zijn. De malware kan op een besmet systeem onder andere toetsaanslagen opslaan en de aanvaller toegang geven.

De app is ongesigneerd, wat inhoudt dat gebruikers bij het openen een waarschuwing van het besturingssysteem te zien krijgen. De oude gedeeltelijke broncode van Coldroot wordt al 2 jaar lang via GitHub aangeboden. Daarnaast zou de ontwikkelaar zijn malware sinds vorig jaar januari verkopen. Op het moment dat Wardle de malware ontdekte werd die echter door geen enkele virusscanner op VirusTotal herkend. Inmiddels detecteert ESET de malware als "OSX/Agent.AI".

Reacties (8)
20-02-2018, 17:35 door Anoniem
Macs hebben toch geen virussen???

:-)

Oh....
20-02-2018, 17:56 door Anoniem
Door Anoniem: Macs hebben toch geen virussen???

:-)

Oh....
klopt. een keylogger is namelijk geen virus.
20-02-2018, 18:12 door CykoByte_t
Door Anoniem: Macs hebben toch geen virussen???

:-)

Oh....
Ja, die kennen we ondertussen wel. Volgens mij (maar zeker weten doe ik het niet) wordt die bewering ook nauwelijks meer gemaakt.
20-02-2018, 20:06 door SecGuru_OTX
Naar mijn mening komt dit door het feit dat VT is gebaseerd op Windows Scanners, hoewel er kwaadaardige code in het bestand staat, is de hash wel nieuw. De hash komt niet voor in de DB bij de traditionele Windows scanners.

De scanners die scannen op basis van gedrag geven "Unable to process file type" aan, hier zou je dus de Mac versie voor moeten gebruiken(als die er zijn).
20-02-2018, 20:29 door Anoniem
Door Anoniem: Macs hebben toch geen virussen???

:-)

Oh....

..die van wardle wel.

Maar daar deed hij dan ook zijn best voor!
Als je toegang hebt tot een computer en admin rechten hebt verworven kan je in princiepe dat hele ding naar de haaien jagen.
Vandaar dat het ook beter is geen systeemwaarschuwingen te negeren!

Verder lijkt die lange wardle advertorial voor eigen programma's en die van anderen ook geinspireerd door die andere publiciteitsjodocus pas met zijn screenshot verhaal.
Een app die de CoreGraphics APIs aanroept om functionaliteit te benutten die hier net iets discutabeler is.

Als je basis regels hanteert die in princiepe voor alle soorten computer systemen gelden is er weinig aan de hand en is alleen de mac van wardle besmet,. en niet van vereweg de meeste lezers hier.

Je mag het niet zeggen, maar Mac gebruikers (en overstappers van windows) weten dat je er eigenlijk geen omkijken naar hebt.
"Wat doe jij vrijdag? Toch niet weer aan je computer sleutelen he? KB hier KB daar, gebruik mijn tijd het hele weekeind maar?
We zullen aan je denken in de kroeg.
Arme jij met je half miljardjes virusjes.

;p


O,ja, wat op zich wel interessant is is dat dit opgegooide balletje rondom het hacken/misbruiken en modyfien van deze database leidt naar een uitleg hoe de dropbox app zich misdraagt op systemen en zich na gebruik altijd weer stilletjes persistent maakt.

Het wordt dus ook al officieel misbruikt en de oudste posts van het aanpassen van die database gaan al terug naar 2012. wardle is dus niet heel vernieuwend bezig met zogenaamde ontdekkingen.
http://applehelpwriter.com/2016/08/29/discovering-how-dropbox-hacks-your-mac/
20-02-2018, 21:50 door Anoniem
Door CykoByte_t:
Door Anoniem: Macs hebben toch geen virussen???

:-)

Oh....
Ja, die kennen we ondertussen wel. Volgens mij (maar zeker weten doe ik het niet) wordt die bewering ook nauwelijks meer gemaakt.

Alleen door jaloerse windows gekkies ;) Om de draak te steken met de mac die ze zelf niet hebben :P
20-02-2018, 22:46 door Anoniem
Door SecGuru_OTX: Naar mijn mening komt dit door het feit dat VT is gebaseerd op Windows Scanners, hoewel er kwaadaardige code in het bestand staat, is de hash wel nieuw. De hash komt niet voor in de DB bij de traditionele Windows scanners.

Duh!!! VTi is *niet* gebaseerd op Windows Scanners, ze gebruiken de Linux Command Line Scanners...


De scanners die scannen op basis van gedrag geven "Unable to process file type" aan, hier zou je dus de Mac versie voor moeten gebruiken(als die er zijn).

CrowdStrike Falcon: Unable to process file type
Cybereason: Unable to process file type
Cylance: Unable to process file type
eGambit: Unable to process file type
Endgame: Unable to process file type
Palo Alto Networks: Unable to process file type
SentinelOne: Unable to process file type
Sophos ML: Unable to process file type
Symantec Mobile Insight: Unable to process file type
Trustlook: Unable to process file type

Is wel erg dat al die nieuwe zogenaamde NextGens dan "NextGen" stuff niet detecteren met hun overgepromte ML...

Nou ja, voor mij niets nieuws...
21-02-2018, 09:20 door Anoniem
Door Anoniem: Macs hebben toch geen virussen???

:-)

Oh....

Ik begrijp de sneer wel, maar beetje flauw is hij wel. Apple heeft jaren geleden al erkend dat ook hun OS'n gewoon software zijn en vatbaar voor malware.

Uit de MacOS Security Guide:

-Use antivirus software to scan files before installing them-

Installing antivirus tools helps prevent infection of your computer by viruses, and helps prevent your computer from becoming a host used to spread viruses to other computers. These tools quickly identify suspicious content and compare them to known malicious content.
For a list of antivirus tools, see the Macintosh Products Guide at guide.apple.com.


http://images.apple.com/support/security/guides/docs/Leopard_Security_Config_2nd_Ed.pdf
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.