image

Mac-gebruikers via Firefox-lekken besmet met backdoor

donderdag 20 juni 2019, 17:01 door Redactie, 8 reacties

Een nog onbekende aanvaller heeft twee zerodaylekken in Firefox gebruikt om Mac-gebruikers met malware te infecteren. Het gaat om dezelfde twee kwetsbaarheden die werden gebruikt bij de aanval op cryptobeurs Coinbase. Mac-onderzoeker Patrick Wardle werd een kleine week geleden benaderd door een Mac-gebruiker die via de Firefox-zerodays was aangevallen.

De aanvaller had het slachtoffer een e-mail gestuurd die naar een website linkte. Deze website bevatte een exploit die misbruik maakte van de kwetsbaarheden in Firefox om een backdoor op het systeem te installeren. Er was geen verdere interactie van het slachtoffer vereist. De backdoor in kwestie werd ook aangetroffen bij de aanval op cryptobeurs Coinbase. Deze backdoor was op 6 juni al naar de online virusscandienst VirusTotal geüpload. Op het moment dat Wardle de malware onderzocht werd die alleen door de antivirussoftware van Tencent herkend.

Het bleek om een malware-exemplaar te gaan dat overeenkomsten had met de Mac-malware Netwire (Wirenet) die in 2012 voor het eerst werd ontdekt en wachtwoorden op besmette systemen probeerde te stelen. Apple bracht in 2016 een update uit voor de in macOS ingebouwde antivirussoftware XProtect om malware genaamd Netwire te detecteren. Deze update bleek ook de nieuwe malware van vorige week te herkennen. Toch raakte de gebruiker die Wardle benaderde geïnfecteerd.

De gebruiker stelde dat de Gatekeeper-beveiliging van macOS werd omzeild. Volgens Wardle is dit niet verrassend, aangezien de malware via een zerodaylek werd geïnstalleerd. Gatekeeper controleert alleen applicaties die van een quarantaine-attribuut zijn voorzien. Dit attribuut wordt alleen door de applicatie, bijvoorbeeld de browser, of het besturingssysteem toegevoegd als het bestand op een normale manier is gedownload. In het geval van een exploit die de malware downloadt wordt het quarantaine-attribuut niet toegevoegd en zal Gatekeeper niet in actie komen.

Coinbase had al laten weten dat meerdere organisaties via de Firefox-zerodays waren aangevallen, maar noemde geen namen. Verdere details over de aanval of aanvallers zijn nog niet bekend. Wardle komt binnenkort met meer informatie over de malware die bij de aanval is ingezet.

Reacties (8)
20-06-2019, 18:11 door Anoniem
Wederom een gebruiker, die weer opnieuw op iets klikt in zijn Email.T
20-06-2019, 19:16 door Anoniem
67.0.4 is uit.
20-06-2019, 19:26 door Anoniem
Net zoals voor andere OS-en geldt:

1. Altijd je applicatie software zo snel mogelijk updaten, zeker bij een kwetsbaarheid.
2. Altijd het OS zelf up-to-date houden.
3. Altijd een virusscanner gebruiken, mocht XProtect falen.
4. Nooit en te nimmer op een LINK klikken in een e-mail.

In de AppStore is een gratis on-demand scanner van Bitdefender te dowloaden en te installeren voor Mac-gebruikers.
20-06-2019, 20:41 door Anoniem
Door Anoniem: Wederom een gebruiker, die weer opnieuw op iets klikt in zijn Email.T
Zonder na te denken...= Click = & = Voila =
21-06-2019, 07:41 door Anoniem
Dat heet toch 'phishing' in Internet taal?
Leer je af om links te klikken vanuit je email en installeer minimaal noscript in Firefox en niemand die je wat kan doen.
21-06-2019, 08:24 door Anoniem
wat ik ernstiger vind:

De gebruiker stelde dat de Gatekeeper-beveiliging van macOS werd omzeild. Volgens Wardle is dit niet verrassend, aangezien de malware via een zerodaylek werd geïnstalleerd. Gatekeeper controleert alleen applicaties die van een quarantaine-attribuut zijn voorzien. Dit attribuut wordt alleen door de applicatie, bijvoorbeeld de browser, of het besturingssysteem toegevoegd als het bestand op een normale manier is gedownload. In het geval van een exploit die de malware downloadt wordt het quarantaine-attribuut niet toegevoegd en zal Gatekeeper niet in actie komen.
Wat is dit voor een design beslissing?
21-06-2019, 10:47 door [Account Verwijderd]
Door Anoniem: Dat heet toch 'phishing' in Internet taal?
Leer je af om links te klikken vanuit je email en installeer minimaal noscript in Firefox en niemand die je wat kan doen.

"niemand"?

Ho,stop!

Leer absoluut aan om nooit 'nooit' te zeggen m.b.t. de onbegrensde mogelijkheden in de digitale wereld,
want...
Black hats zijn net zo sluw als fatsoenlijke mensen slim zijn.
21-06-2019, 11:35 door Anoniem
Door Anoniem: Dat heet toch 'phishing' in Internet taal?
Leer je af om links te klikken vanuit je email en installeer minimaal noscript in Firefox en niemand die je wat kan doen.
uMatrix is wat handiger in gebruik (en kan pagina's volledig blokkeren), maar zonder één van die twee (of uiteraard beide) zou je niet het internet op moeten willen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.