Nieuws
image

Aanvallers infecteren Mac-computers via exe-bestand

dinsdag 12 februari 2019, 11:09 door Redactie, 7 reacties

Exe is een bestandsformaat voor het Windowsplatform, maar aanvallers maken er nu gebruik van om Mac-computers met adware en malware te infecteren. Dat laat anti-virusbedrijf Trend Micro in een analyse weten. De aanval begint met illegale software die via Torrent-sites wordt aangeboden.

De zip-bestanden die via de Torrent-sites worden aangeboden doen zich voor als de populaire Mac-firewall Little Snitch en verschillende andere tools. Het zip-bestand bevat weer een DMG-bestand dat het bestand Installer.exe bevat en aanroept. Dit bestand kan normaliter niet op een Mac worden uitgevoerd. Via het mono-framework is het mogelijk om Microsoft .NET-applicaties toch op platformen zoals macOS uit te voeren.

In het geval van het DMG-bestand hebben de aanvallers dit framework toegevoegd, zodat Installer.exe kan worden uitgevoerd. Dit bestand bevat de malware die allerlei informatie over het systeem verzamelt en terugstuurt naar de aanvaller. Het gaat dan om informatie over de aanwezige hardware, UUID en geïnstalleerde apps. Daarnaast worden er verschillende "potentieel ongewenste applicaties" en adware gedownload en geïnstalleerd.

Onderzoekers van Trend Micro vermoeden dat aanvallers bewust voor exe-bestanden hebben gekozen om bepaalde beveiligingsmaatregelen van macOS te omzeilen, waaronder de digitale certificaatcontrole. Mac-gebruikers krijgen het dringende advies om geen bestanden, programma's of software van ongecontroleerde bronnen en websites te downloaden. De meeste infecties werden in Groot-Brittannië, Australië, Armenië, Luxemburg, Zuid-Afrika en de Verenigde Staten waargenomen.

Image

Reacties (7)
12-02-2019, 11:15 door [Account Verwijderd]
De primair aanval begint dan toch met een DMG bestand dat Mono installeert? Hoe kan dat ongemerkt gebeuren als je standaard geen admin rechten hebt op een Mac?
12-02-2019, 13:08 door MathFox
Door Manjaro: De primair aanval begint dan toch met een DMG bestand dat Mono installeert? Hoe kan dat ongemerkt gebeuren als je standaard geen admin rechten hebt op een Mac?
Je kunt op OS-X resources meeleveren in je package, Mono zo configureren dat de zoekpaden goed staan en bibliotheken relatief aan de "executable" benaderen. Helemaal niet nodig om dergelijke pakketten globaal op een systeem beschikbaar te maken.
(Als je op Linux zelf compileert kun je er vaak ook voor kiezen om de applicaties in je eigen homedirectory te installeren.)
12-02-2019, 13:27 door Anoniem
Nee het DMG installeert dat niet. Als je de DMG uitpakt zie je Installer.app in deze applicatie bundle (wat eigenlijk gewoon een map is) zit Mono en het virus (zie screenshot hierboven). Gezien de mono dll's vermoed ik dat het eerste bestand "embedded..visionprofile" een Wine installatie of iets dergelijks is om de windows executable te starten. Vandaar ook dat ze het kunnen starten buiten de OS security om, omdat hij via een soort van emulator gestart wordt.

Ik denk dat het zo iets is, om dat zeker te weten had ik graag een screenshot gezien van het Installer script in de MacOS folder :-)
12-02-2019, 16:12 door Anoniem
Wacht even:

Dit bestand bevat de malware die allerlei informatie over het systeem verzamelt en terugstuurt naar de aanvaller. Het gaat dan om informatie over de aanwezige hardware, UUID en geïnstalleerde apps.

en verder:

Daarnaast worden er verschillende "potentieel ongewenste applicaties" en adware gedownload en geïnstalleerd.

Klinkt hetzelfde als wat Google met Android doet. Maar omdat het niet door Google gedaan wordt is wordt er ineens gesproken over "malware"?

Ik volg het even niet meer helemaal....
12-02-2019, 17:26 door Anoniem
Bestands extenties doen er geen reet toe, .exe, .com, .bat het zal allemaal worst wezen, het gaan om de code die in het bestand zit, is die voor een Mac, Linux of Windows systeem geschreven?

echo "echo Hallo" > demo.exe
chmod 700 demo.exe
./demo.exe
Hallo

Is dit nu een "exe" file?
12-02-2019, 20:50 door Anoniem
Van mijn leven nog niet een greintje medelijden gehad met gebruikers van illegaal verkregen software bij wie hun computer helemaal over de zeik gaat hierdoor. Ik zie er zelfs de zin niet van in om te waarschuwen zoals security.nl hier dat er iets mis is met deze torrent dowload. Waar je mee omgaat wordt je door besmet, en hier: eigen schuld, dikke bult. Volgende keer gewoon netjes licentie betalen of anders: netjes voorbij laten gaan.
13-02-2019, 15:22 door Anoniem
Door Anoniem: Bestands extenties doen er geen reet toe, .exe, .com, .bat het zal allemaal worst wezen, het gaan om de code die in het bestand zit, is die voor een Mac, Linux of Windows systeem geschreven?

echo "echo Hallo" > demo.exe
chmod 700 demo.exe
./demo.exe
Hallo

Is dit nu een "exe" file?

Je kunt er wel een BAT van maken :)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search