image

Safari-gebruikers gewaarschuwd voor automatisch uitpakken zip-bestanden

zondag 2 september 2018, 10:07 door Redactie, 15 reacties

Safari-gebruikers op macOS zijn gewaarschuwd voor een optie in de browser die ervoor zorgt dat zip-bestanden automatisch worden uitgepakt, aangezien aanvallers hier misbruik van maken. Eerder deze week verscheen al het bericht dat Mac-gebruikers in het Midden-Oosten het doelwit van gerichte aanvallen zijn geweest.

De aanvallers stuurden doelwitten een spearphishingmail die een link naar een kwaadaardige website bevat. Zodra het doelwit deze website bezoekt wordt er een download van een zip-bestand geactiveerd, dat de malware bevat. Safari zal het zip-bestand automatisch uitpakken en zo de malware op het systeem van de gebruiker plaatsen. Alleen het feit dat dit kwaadaardige bestand op het systeem van de gebruiker is geplaatst is voldoende om het een eigen "url-scheme" te laten registreren.

Via een url-scheme kan een applicatie aangeven dat als de gebruiker een bepaalde url opent, de betreffende applicatie hiervoor verantwoordelijk is. Bekende url-schemes zijn http:// en ftp://. Applicaties kunnen echter ook een eigen url-scheme registreren. In het geval van de nu waargenomen aanvallen registreert macOS het url-scheme van de malware. Vervolgens zal de kwaadaardige website dit url-scheme aanroepen om de malware op het systeem van de gebruiker uit te voeren.

Dit veroorzaakt wel een waarschuwing in Safari, maar de aanvaller heeft volledige controle over deze melding. Wanneer de gebruiker de website toestaat om de malware te starten verschijnt er een waarschuwing van File Quarantine dat er een bestand dat van het internet afkomstig is wordt geopend. Als de gebruiker ook deze waarschuwing negeert wordt de malware geïnstalleerd. De malware is van een geldig ontwikkelaarscertificaat voorzien, waardoor Apples GateKeeper dit in de standaardconfiguratie gewoon toestaat.

Image

Automatisch uitpakken zip-bestanden

Hoewel de meldingen van Safari en File Quarantine een obstakel zijn voor de aanvallers, is het zeker geen "show stopper", zegt onderzoeker Patrick Wardle. Verschillende aangevallen Mac-gebruikers hebben de waarschuwingen genegeerd en zijn vervolgens geïnfecteerd geraakt door de malware. Wardle adviseert Mac-gebruikers die security belangrijk vinden om Google Chrome te gebruiken. Wie met Safari werkt krijgt het advies om het automatisch uitpakken van zip-bestanden uit te schakelen, wat via het Instellingen-menu van de browser kan worden gedaan. Tevens kan het volgens Wardle geen kwaad om Apples Gatekeeper zo in te stellen dat er alleen applicaties uit de Mac App Store worden toegestaan.

Image

Reacties (15)
02-09-2018, 10:52 door Anoniem
Zolang gebruikers:

A: URL's in mail gewoon aan blijven klikken
B: Waarschuwingen blijven negeren
C: Hun (default) security instellingen aanpassen zonder enige kennis

Is er geen kruit opgewassen tegen dit soort praktijken.
02-09-2018, 13:31 door Anoniem
Door Anoniem: Zolang gebruikers:

A: URL's in mail gewoon aan blijven klikken
B: Waarschuwingen blijven negeren
C: Hun (default) security instellingen aanpassen zonder enige kennis

Is er geen kruit opgewassen tegen dit soort praktijken.

A. Spearfishing kan erg verraderlijk zijn en met wat trucs zijn links te genereren die ook ervaren gebruikers (zoals jij) voor het lapje houden
B. "de aanvaller heeft volledige controle over deze melding"
C. Dit zou default nooit aan mogen staan. Dingen automatisch uitpakken is vragen om problemen en die verantwoordelijkheid ligt primair bij Apple

Een alerte gebruiker is de belangrijkste bescherming, maar in dit geval blijft daar wel erg weinig marge voor over.
02-09-2018, 13:52 door Anoniem
Door Anoniem: Zolang gebruikers:

A: URL's in mail gewoon aan blijven klikken
B: Waarschuwingen blijven negeren
C: Hun (default) security instellingen aanpassen zonder enige kennis

Is er geen kruit opgewassen tegen dit soort praktijken.
Vooral C. Had je dit niet effe van te voren kunnen zeggen?
02-09-2018, 17:58 door Anoniem
Door Anoniem:
Door Anoniem: Zolang gebruikers:

A: URL's in mail gewoon aan blijven klikken
B: Waarschuwingen blijven negeren
C: Hun (default) security instellingen aanpassen zonder enige kennis

Is er geen kruit opgewassen tegen dit soort praktijken.

A. Spearfishing kan erg verraderlijk zijn en met wat trucs zijn links te genereren die ook ervaren gebruikers (zoals jij) voor het lapje houden
B. "de aanvaller heeft volledige controle over deze melding"
C. Dit zou default nooit aan mogen staan. Dingen automatisch uitpakken is vragen om problemen en die verantwoordelijkheid ligt primair bij Apple

Een alerte gebruiker is de belangrijkste bescherming, maar in dit geval blijft daar wel erg weinig marge voor over.

Het probleem lig niet bij Apple, Apple staat per default alleen programma executie toe voor programma's die uit de App Store komen en niet die van 'identified developers'. Je moet daarvoor in je settings en Apps expliciet toestaan daarvoor, dus per default veilig.
02-09-2018, 19:26 door Spiff has left the building
Door Anoniem, 10:52 uur:
[...] geen kruit opgewassen tegen [...]
-->
geen kruid tegen gewassen
Zie bijvoorbeeld:
https://onzetaal.nl/taaladvies/er-is-geen-kruid-tegen-gewassen/
02-09-2018, 19:58 door Anoniem
Door Spiff:
Door Anoniem, 10:52 uur:
[...] geen kruit opgewassen tegen [...]
-->
geen kruid tegen gewassen
Zie bijvoorbeeld:
https://onzetaal.nl/taaladvies/er-is-geen-kruid-tegen-gewassen/

Dank je voor deze terechtwijzing.
02-09-2018, 20:41 door Anoniem
Hoe kom je er achter of zulke malwar op je macbook zit dan?
02-09-2018, 20:51 door Anoniem
Kan zoiets niet voorkomen worden, door enkel op een standaard account (geen beheerdersaccount) te internetten?
Waarschijnlijk dan wel de “beheerderswachtwoord vereist voor toegang tot systeemomvattende voorkeuren” aanvinken.
Of is dat in zo’n dergelijk voorbeeld te omzeilen en geen bescherming?

Tevens: moet het safari “open “veilige” bestanden na downloaden” nu uitgevinkt zijn? Bedankt!
02-09-2018, 22:11 door Spiff has left the building
Door Anoniem, 19:58 uur:
Dank je voor deze terechtwijzing.
Probeer het niet als terechtwijzing te zien, maar liever zoals de informatie van onzetaal.nl, als een informatief stukje, voor wie taal leuk vindt. Meestal negeer ik het als ik hier of elders een uitdrukking enigszins verbasterd gebruikt zie worden, maar deze keer moest ik zo nodig 'informatief' doen ;-) Mijn excuses, als je het onverhoopt als irritant ervoer.
02-09-2018, 23:49 door Anoniem
Door Anoniem: Zolang gebruikers:

A: URL's in mail gewoon aan blijven klikken
B: Waarschuwingen blijven negeren

Sinds wanneer mogen gebruikers geen URL's in email aanklikken? Overdrijf je niet een klein beetje veel?

De oorzaak van dit alles is gewoon dat Safari onvoorzichtig is. Geen enkele andere browser opent automatisch archiefbestanden. En een OS als Windows of Linux wijzigt niet automatisch zonder te vragen koppelingen aan bestandstypen zodra het een Info,plist bestand ziet en inleest waardoor automatisch malware wordt gebruikt om die te openen. Dat zijn een hoop domme dingen op een rij.
03-09-2018, 07:58 door Anoniem
Door Spiff:
Door Anoniem, 19:58 uur:
Dank je voor deze terechtwijzing.
Probeer het niet als terechtwijzing te zien, maar liever zoals de informatie van onzetaal.nl, als een informatief stukje, voor wie taal leuk vindt. Meestal negeer ik het als ik hier of elders een uitdrukking enigszins verbasterd gebruikt zie worden, maar deze keer moest ik zo nodig 'informatief' doen ;-) Mijn excuses, als je het onverhoopt als irritant ervoer.

Ach, terechtwijzing is wat sterk uitgedrukt, "Dank voor deze correctie" was iets vriendelijker geweest.
Je hebt gewoon gelijk. :)
03-09-2018, 08:46 door Anoniem
Door Anoniem: Kan zoiets niet voorkomen worden, door enkel op een standaard account (geen beheerdersaccount) te internetten?
Waarschijnlijk dan wel de “beheerderswachtwoord vereist voor toegang tot systeemomvattende voorkeuren” aanvinken.
Of is dat in zo’n dergelijk voorbeeld te omzeilen en geen bescherming?

Tevens: moet het safari “open “veilige” bestanden na downloaden” nu uitgevinkt zijn? Bedankt!
Ja hoor, zo werk ik ook op mijn mac. Ik werk altijd onder een standaard (niet beheerders) account. Naast dat ik het userID & wachtwoord van het beheeraccount in moet tikken bij het installeren van programma's moet ook mijn yubikey in de usb poort zitten voordat er een beheerdersactie kan worden uitgevoerd.
03-09-2018, 11:02 door Anoniem
Door Anoniem:
Door Anoniem: Zolang gebruikers:

A: URL's in mail gewoon aan blijven klikken
B: Waarschuwingen blijven negeren

Sinds wanneer mogen gebruikers geen URL's in email aanklikken? Overdrijf je niet een klein beetje veel?

Nee, ik overdrijf niet, HTML in email is de bron van heeel veel kwaad en daar zijn talloze voorbeelden van.
03-09-2018, 11:09 door Anoniem
Door Anoniem: Hoe kom je er achter of zulke malwar op je macbook zit dan?

Inderdaad: graag zou ik dit willen weten.
Hoe weet je of je een dergelijke mail met zo’n link hebt gehad? Heeft deze nog een naam? En hoe kan je scannen of je deze (of andere) malware hebt?
04-09-2018, 11:28 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Zolang gebruikers:

A: URL's in mail gewoon aan blijven klikken
B: Waarschuwingen blijven negeren

Sinds wanneer mogen gebruikers geen URL's in email aanklikken? Overdrijf je niet een klein beetje veel?

Nee, ik overdrijf niet, HTML in email is de bron van heeel veel kwaad en daar zijn talloze voorbeelden van.

Wat een onzin. We leven niet meer in 1999.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.