Video: How to remove a virus from MacBook — Basic malware check for Mac (November 2024)
Onderzoekers hebben malware ontdekt die is ontworpen om gebruikers op de Mac van een Angolese activist te bespioneren.
Onafhankelijke beveiligingsonderzoeker Jacob Appelbaum ontdekte de nieuwe en voorheen onbekende achterdeur op de Mac van de activist, terwijl Appelbaum op The Oslo Freedom Forum op Twitter schreef. Hij ontdekte kort daarna een tweede variant op de computer van een andere activist.
"Het lijkt een geheel nieuw stuk malware te zijn met gloednieuw gedrag, " vertelde Bogdan Botezatu van BitDefender aan SecurityWatch .
In het geval van de eerste aanval was de activist het slachtoffer van een spear phishing-aanval waarbij hij werd verleid om de malware te downloaden en te installeren terwijl hij was ingelogd op de Mac, zei Botezatu.
Wat de malware doet
De backdoor-applicatie lijkt schermafbeeldingen van de computer van de gebruiker te maken en op te slaan in een map in de thuismap van de gebruiker genaamd MacApp, schreef Sean Sullivan van F-Secure op de bedrijfsblog. F-Secure-onderzoekers vermoeden dat het commercieel is ontwikkeld, vertelde Sullivan aan SecurityWatch .
Eenmaal geïnstalleerd, voegde de applicatie zichzelf toe aan de lijst met inlogitems van de huidige gebruiker, een lijst met applicaties die automatisch worden uitgevoerd wanneer de gebruiker inlogt op de Mac. De malware uploadde de screenshots naar twee command-and-control-servers - één in Nederland en de andere in Frankrijk.
Het primaire doel van de command-and-control-server is het verzamelen van alle screenshot, maar het slaat ook de hostnamen en aanvullende informatie over geïnfecteerde machines op, zei Botezatu. BitDefender-onderzoekers ontdekten dat de tweede variant van de Mac-achterdeur ook communiceerde met een server in Roemenië om extra payloads en componenten te downloaden.
Het is mogelijk dat deze server zal fungeren als een terugval voor criminelen als de andere servers worden opgeschort, zei Botezatu.
Hoewel de malware zelf 'niet verfijnd' was, was het nog steeds in staat om informatie over de activiteiten van de gebruiker op die computer te verzamelen 'zonder teveel lawaai te maken', zei Botezatu.
Is de Apple ID gestolen?
De malware is ondertekend met een geldige Apple Developer ID, wat betekent dat het niet wordt gedetecteerd door de Gatekeeper-functionaliteit in Mac OS X. Apple introduceerde Gatekeeper, dat voorkomt dat niet-ondertekende van internet gedownloade applicaties worden uitgevoerd in Mac OS X Mountain Lion en Lion v10.7.5 vorig jaar. BitDefender gelooft dat dit het eerste stuk Mac-malware is dat digitaal is ondertekend met een legitieme Apple ID.
Het is op dit moment niet bekend of de sleutel is gestolen van een legitieme ontwikkelaar, of dat de malware-ontwikkelaar Apple heeft misleid om de ID te genereren. Gezien het feit dat de naam vergelijkbaar is met een beroemde Bollywood-ster die onlangs is overleden, is het waarschijnlijk dat de ontwikkelaar een valse identiteit heeft gecreëerd als onderdeel van het aanvraagproces, zei Botezatu.
Gebruikers kunnen in hun basismappen kijken of er een MacApp-map is om erachter te komen of ze zijn geïnfecteerd.
Hoewel de malware 'kreupel' was omdat het gemakkelijk kon worden gedetecteerd, was het nog steeds 'dodelijk', zei Appelbaum. "Het probleem is dat de auteur goed genoeg was om iemand in levensgevaar te brengen", schreef Appelbaum op Twitter.
