Nieuws
image

Mac-malware injecteert advertenties in versleuteld webverkeer

donderdag 25 oktober 2018, 11:23 door Redactie, 5 reacties
Laatst bijgewerkt: 25-10-2018, 14:12

Onderzoekers hebben Mac-malware ontdekt die advertenties in versleuteld webverkeer injecteert. SearchAwesome, zoals de malware wordt genoemd, wordt door andere malware geïnstalleerd. Deze malware wordt verspreid via een torrent die illegale software belooft.

De installatie van de malware is niet zichtbaar voor gebruikers, behalve dat die toestemming moet geven voor het aanpassen van de Certificate Trust Settings en netwerkconfiguratie, zo meldt anti-malwarebedrijf Malwarebytes. Daarnaast installeert de malware een eigen certificaat op het systeem zodat het verkeer dat via https is versleuteld kan onderscheppen.

Vervolgens wordt ook een opensourceprogramma genaamd mitmproxy geïnstalleerd. Deze software kan onder andere worden gebruikt om webverkeer te onderscheppen, inspecteren en aan te passen. Met het geïnstalleerde certificaat, dat van het mitmproxy-project is, kan de software dit bij al het webverkeer doen. De malware maakt hiervan gebruik om op elke webpagina JavaScript te injecteren dat advertenties laat zien. Het script kan in theorie echter ook worden gebruikt voor cryptomining en het stelen van wachtwoorden.

Opmerkelijk is dat de malware van een uninstaller is voorzien waarmee het zichzelf kan verwijderen. De mitmproxy-software en het geïnstalleerde certificaat blijven hierbij achter, waardoor gebruikers nog steeds risico kunnen lopen, zegt onderzoeker Thomas Reed. Malwarebytes meldt dat het de malware kan detecteren en verwijderen. Het laat de mitmproxy-software echter ongemoeid, aangezien dit een legitieme tool is. Getroffen gebruikers zullen dan ook zelf het toegevoegde certificaat uit hun keychain moeten verwijderen.

Reacties (5)
25-10-2018, 11:44 door Anoniem
Dat de software ongemoeid blijft is mooi. Als iemand die veel vage tooltjes gebruikt heb ik een hekel aan al die PUP definities.
Wat ik wel vind is dat Malwarebytes het certificaat zou moeten verwijderen als de malware zelf ook gevonden is.
25-10-2018, 12:41 door Briolet
Door Anoniem: Wat ik wel vind is dat Malwarebytes het certificaat zou moeten verwijderen als de malware zelf ook gevonden is.

Het is blijkbaar een certificaat dat bij legitieme software hoort. Misschien was dit wel een legitieme gebruiker van een vorige versie van de mitmproxy-software.

Maar erover nadenkend heb je wel gelijk. Als deze malware aangetroffen is, is het ook iemand die de echte software illegaal gedownload heeft. Dan mag hij wat mij betreft niet alleen die hele software verwijderen, maar de hele harde schijf wissen.
25-10-2018, 13:20 door Anoniem
Dit is weer het bewijs dat er voor alle operating systems malware bestaat
25-10-2018, 14:12 door Anoniem
Waarom is malware-bytes opeens ook betaald geworden? Vroeger waren ze gratis.
25-10-2018, 17:13 door Anoniem
Door Anoniem: Dit is weer het bewijs dat er voor alle operating systems malware bestaat

Er is niemand met een beetje verstand van computers die het tegendeel beweerd. Maar wil je weer een discussie aanslingeren over specifieke OS'en?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search