Twee nieuwe malware-varianten voor OS X opgedoken

Door: Raymon Mens - 26 reacties

Betalen we de prijs voor de stijgende populariteit van OS X? Deze week zijn er maar liefst twee nieuwe malware-varianten voor de Mac opgedoken. Het gaat om Backdoor MAC Eleanor, ontdekt door Bitdefender en OSX/Keydnap, ontdekt door ESET.

De eerste malware-variant geeft kwaadwillenden veel controle over je Mac, terwijl de andere malware de inhoud van sleutelhangertoegang met wachtwoorden probeert buit te maken.

Frankenstein-creatie

De Backdoor.MAC.Eleanor is vermomd als downloadbare EasyDoc Converter die allerlei documenten kan converteren. De Mac-app doet echter iets anders en installeert malware die kwaadwillenden op afstand toegang geeft tot alle bestanden op je Mac, de webcam aan- en uit kan zetten en het scherm op kan nemen. Je Mac kan op de achtergrond volledig over worden genomen.

De malware is een vreemde mix van componenten die op zichzelf niet schadelijk zijn, maar wel verkeerd gebruikt kunnen worden. Zo wordt op de achtergrond een TOR-service geïnstalleerd die je Mac voor de kwaadwillenden bereikbaar maakt. De malware zelf bestaat uit een aantal PHP-scripts die samen met een webserver als administrator op het systeem draaien. Om beelden van de webcam en het scherm vast te leggen, wordt een open source-tool gebruikt. Een creatief brouwsel.
easydoc-wide

Keychain stelen

Malware nummer twee is OSX/Keydnap.A en vermomd als .jpg-plaatje, maar installeert bij het uitvoeren kwaadaardige software die de inhoud van je (iCloud)-sleutelhangertoegang buitmaakt. Dat wil zeggen dat alle wachtwoorden en andere info zoals beveiligde notities en creditcardnummers die je in je sleutelhanger hebt opgeslagen ook doorgestuurd worden.

Niet alle software heeft zomaar toegang tot de inhoud van je sleutelhanger, je moet eerst toestemming geven. De malware vraagt die toestemming ook en doet zich voor als ‘icloudsyncd’ om gebruikers te verwarren. Na het invoeren van je wachtwoord heeft de malware administrator-rechten en kan deze zijn gang gaan. Er wordt overigens geen nieuw lek of bug gebruikt om de keychain uit te lezen, de malware gebruikt een vier jaar oude open source tool genaamd keychaindump en heeft die samen met uploadscripts verpakt.
icloudsyncd

OS X blokkeert deze malware standaard

Al deze malware wordt door OS X standaard geblokkeerd omdat deze niet uit de Mac App Store komt en de identiteit van de ontwikkelaar niet bij Apple bekend is (geen certificaat). Gebruikers moeten actief de beveiliging uitzetten om de malware toe te laten en in het laatste geval ook nog een administrator-password invoeren. Wat verder opvalt is dat er weinig moeite in de malware is gestopt. Vaak zijn het open source-pakketten die aan elkaar gelijmd zijn. Over het algemeen is Windows-malware een stuk geavanceerder.

Reacties

26 reacties
  • Profielfoto
    Coyote52

    Je bent er dus zelf bij als het gebeurd oppassen dus met wat je doet zoals altijd!

  • Profielfoto
    polansky

    Ik krijg een beetje het idee dat dit uit de hoge hoed van Apple zelf komt, alhoewel ze dat nooit en te never zullen toegeven.

    De reden….

    Apple wil af van de optie dat gebruikers zelf hun software kunnen installeren zonder tussenkomst van de Mac App Store.

    All it needs voor Apple is om het vinkje ‘Sta programma’s toe die zijn gedownload bij ‘elke willekeurige bron’. onder beveiligingsoptie in het menu systeemvoorkeuren.

    Als er maar genoeg virussen zijn voor de Mac dan wordt de vraag voor het weghalen van dat vinkje ook groter en heeft Apple haar zin.

    Meer inkomsten, minder vrijheid voor software ontwikkelaars en is iOS voor de Mac ook ineens een hele grote stap dichterbij.

    Paranoia, misschien? Maar zeker niet ondenkbaar.

  • Profielfoto
    B van der Heijden

    @polansky Het vinkje voor alle bronnen bij privacy in systeemvoorkeuren is weggehaald in macOS Sierra

  • Profielfoto
    Neowip

    @polansky

    Paranoïde is een understatement

  • Profielfoto
    Lucas V

    Het heet geen os x maar Macos

  • Profielfoto
    Zakske

    Het heet geen os x maar Macos

    Fout… het is macOS.

  • Profielfoto
    CD130

    Is het nog wel gewoon mogelijk om in Sierra software buiten Apple om te installeren?

  • Profielfoto
    sedikit

    Is het nog wel gewoon mogelijk om in Sierra software buiten Apple om te installeren?

    Als dat waar zou zijn! Alsof je een nieuwe auto koopt en de fabrikant bepaalt wie je passagiers zijn en/of de fabrikant bepaalt dat ik alléén zijn onderdelen mag gebruiken. Dan aan mijn lijf geen Sierra!

  • Profielfoto
    Alexander Henket

    Yikes. Zeker sinds Sierra herken ik veel daemons niet meer. Maar er zijn om de haverklap processen die speelruimte vragen. Dat doen hele normale processen ook. Zeker als Little Snitch gebruiker ben ik gewend om connectievragen goed te keuren of niet. Vandaag bijvoorbeeld de ‘assistantd’. Geen manual entry dus ja: wat het is? Ik vind het er niet makkelijker op worden. Ik ga in deze betaperiode in elk geval bij Apple feedback inschieten om al daemons ergens inzichtelijk te krijgen. Manual entries zou voor mij heel natuurlijk zijn

  • Profielfoto
    wensink

    Het heet geen os x maar Macos

    Alle versies van 10.7 t/m 10.11 heten gewoon OSX hoor.

  • Profielfoto
    Tys Brenets

    Denk je niet dat die Romeinse X misschien voor 10 staat? Dus álle versies van 10.* heten OS X, ook voor OS X 10.7 Lion.

    Jammer dat ze Sierra niet 11.0 geven. Maar ja, als er ook bijna niks verandert behalve de naam…

    On-topic: zo’n gedachte is zeker niet gek, Apple gaat heel ver. Ben benieuwd naar hun reactie.

  • Profielfoto
    hokkie

    Hoezo zo’n converter, vraag ik mij dan weer af…

  • Profielfoto
    polansky

    Is het nog wel gewoon mogelijk om in Sierra software buiten Apple om te installeren?

    Als dat waar zou zijn! Alsof je een nieuwe auto koopt en de fabrikant bepaalt wie je passagiers zijn en/of de fabrikant bepaalt dat ik alléén zijn onderdelen mag gebruiken. Dan aan mijn lijf geen Sierra!

    Precies mijn gedachte.

    Naast geen Sierra is het dan ook tevens mijn laatste Mac na 17 jaar Mac gebruiker geweest te zijn. Windows 10 is toch verdomd dicht in de buurt gekomen van Mac OS(X).

  • Profielfoto
    sedikit

    “Naast geen Sierra is het dan ook tevens mijn laatste Mac na 17 jaar Mac gebruiker geweest te zijn. Windows 10 is toch verdomd dicht in de buurt gekomen van Mac OS(X).”

    Ik dacht erover hetzelfde te zeggen, maar dat heb ik maar niet gedaan, om redenen die zich laten raden.

  • Profielfoto
    jackybe67

    @Polansky,

    make my day. ???

  • Profielfoto
    polansky

    @Jacky – Ga ik zeker doen als Apple de boel dichttimmert.

    Dan zal het overigens ook snel gedaan zijn voor de Mac als serieus platform en alternatief voor Windows. Mac OS wordt dan enkel een suf OS voor dombo’s die niet weten hoe ze met een computer om moeten gaan. De schaapjes die zich graag door Apple laten verneuken omdat ze helemaal idolaat zijn van een merknaam, maar niet verder willen kijken dan hun neus lang is. Omdat voor hen Apple een religie is en geen stukje gereedschap om hun werk te doen.

    Zonder Adobe overigens, want die gaan Apple echt geen 30% van hun inkomsten cadeau geven om in de App store te mogen staan. En daarmee is Apple dus ook einde voor de creatieve professionals.

  • Profielfoto
    Domtoren

    Paranoia, misschien? Maar zeker niet ondenkbaar.

    Tsja. Als we alles op gaan sommen wat niet ondenkbaar is… Het is niet ondénkbaar dat de CIA Kennedy heeft vermoord.

  • Profielfoto
    MacAanZee

    Volgens mij het het vanaf nu MacOS, dus met een hoofdletter aan het begin.
    @Polansky: volgens mij heb jij je dag niet vandaag. Eerst Apple beschuldigen van het loslaten van behoorlijk gemene malware virussen op onze Macs en daarna nog eens het gros van de Mac gebruikers uitschelden voor dombo’s die niet weten hoe ze met een computer moeten omgaan en ‘zich door Apple laten verneuken en niet verder willen kijken dan hun neus lang is’. Tjongejonge wat een frustratie… Vaak hou ik wel van je kritische opmerkingen, maar dit is echt absurd.

    Ik vind het absoluut geen schande om me veilig te voelen binnen de bescherming van Apple. Dat is één van de redenen waarom ik Apple gebruik. Dit soort kwalijke malware maakt wel duidelijk waarom. De eerste vind ik nog wel de engste. Van de tweede heb ik geen last, want ik sla zelden wat op in de sleutelhanger en iCloud gebruik ik helemaal niet voor m’n Mac.

  • Profielfoto
    Zakske

    Volgens mij het het vanaf nu MacOS, dus met een hoofdletter aan het begin.

    Fout… check de site van Apple.

  • Profielfoto
    Ome Kor

    Ach, laat oldtimers zoals ik toch;-)

  • Profielfoto
    queenfan

    @sedikit ieder zijn ding en mening, maar gebruik Windows 10 zakelijk en dat komt niet in de buurt van MacOSX. MacOS Siera heb ik nog niet geïnstalleerd heb ik geen oordeel over.

  • Profielfoto
    Sharks

    Gelet de discussie, waarschijnlijk offtopic, maar kan iemand mij vertellen hoe ik kan controleren of mijn Mac is besmet met een van bovenstaande malwares? Moet vast eenvoudig te controleren zijn zonder een duur pakket te hoeven kopen…

    Thanks,
    Sharks

  • Profielfoto
    sedikit

    Ik neem aan dat Malwarebytes dat kan. Wel eerst updaten:
    https://nl.malwarebytes.com/antimalware/mac/

  • Profielfoto
    DBLCreations

    @sedikit ieder zijn ding en mening, maar gebruik Windows 10 zakelijk en dat komt niet in de buurt van MacOSX. MacOS Siera heb ik nog niet geïnstalleerd heb ik geen oordeel over.

    Inderdaad ieder zijn ding… Windows gebruiken voor zakelijk gebruik… Ja kan wel…

    Voor professioneel gebruik daarentegen… Ja, ik ga dan maar degene zijn. Want al wat ik hier lees vraag ik me eigenlijk af wat mensen hier doen als ze de Mac maar niets vinden.

    En noem mij maar een schaap dat zich laat verneuken door Apple, liever door Apple dan door Billetje die in de gate van kweetni wie zit…

    Peace.

  • Profielfoto
    doctor_apple

    @DBCreation: “Voor Professioneel gebruik daarentegen” ?

    Ik weet het niet, hoor … Al is de ondertoon soms anders heb ik nog steeds een zwak voor Apple (in de positieve zin des woords) … Maar ik houd ook van een stuk realiteitszin.

    De MacBook Pro is inmiddels bijna 500 dagen niet geupdate … Dat is redelijk lang in IT termen …

    De Mac Pro is uit 2013 en bijna 3 jaar niet geupdate …

    … diverse Apple ‘Pro’ programma’s zijn inmiddels gesneuveld … En niet op de meest elegante manier (denk maar aan ‘DVD Studio’, ‘Shake’, ‘Cinema Tools’, Soundtrack Pro’, ‘Aperture’)

    Daarnaast wordt je meer en meer veroordeeld tot een ‘App Store’ die behoorlijke beperkingen kent (een van de redenen dat je geen MS Office, Adobe of andere high end toepassingen tegenkomt in de App Store) …

    Waar Windows 3 jaar meegaat per lifecycle en een major update krijgt na ongeveer 1 a 2 jaar … (met tussendoor kleine updates en fixes), mag je elk jaar weer gaan ‘tweaken’ met een ‘major release’ van iOS en macOS, hopen dat je netwerk het doet na een update, hopen dat je mail niet wordt ‘opgegeten’ of, zie het verleden, zelfs complete schijven worden gewist in verband met een bug waarbij de externe schijf onleesbaar werd na de schrijf acties van MacOS X …

    Het aantal bugs bij iOS en MacOS X, straks macOS … Is elke keer weer behoorlijk. Goed, er komen features bij … Maar … Een OS is voor mij niets meer en niets minder dan een ENABLER voor professionele applicaties …

    En wat is professioneel? Met alle respect, maar Linux en Windows worden een veelvoud ingezet in bijvoorbeeld de film-industrie, product design, wetenschap, bouw, medische wereld, finance en meer …

    Maya, CATIA, Cinema 4D is voor grote afnemers ook in Linux variant te krijgen, Houdini, Element 3D …

    … maar de meer bekende van “Adobe Studios” en Microsoft zijn toch ook voor Windows en soms Linux? Natuurlijk ook vaak voor de Mac, maar om te stellen dat als je niet op een ‘Mac’ werkt je ‘niet professioneel’ zou zijn?

    Dreamworks gebruikt voor HP Linux voor zowel de grafische werkstations als servers … Croods is bijvoorbeeld VOLLEDIG op Linux werkstations gemaakt …

    Zo ook bekende titels als District9, Day the Earth Stood Still, Jumper, King Kong, Lord of the Rings, Fantastic Four, Eragon en i-Robot … Relatief weinig en soms zelfs 0,0 ingreng van MacOS X anders dan de soundtrack …

    Windows en Linux zijn van ver gekomen, op bepaalde gebieden lopen ze nog immer achter. Maar op andere gebieden en functionaliteiten kunnen we eveneens veel leren van andere OS’en …

    Android heeft ongelooflijk veel handigheidjes die ik niet in iOS terugzie
    Windows kent talloze handige shortcuts, features en technieken die ik in [Mm]acOS [X] niet terugzie
    Linux heeft een grote sprong voorwaarts gemaakt en ik werk momenteel op een nieuwe OpenSUSE 42 editie met een desktop die veel weg heeft van MacOS X met toepassingen waar ik helemaal niet wist dat die op Linux bestonden …

    … arrogantie is uiteindelijk de ondergang geweest van een Sony … Nokia … Sun … BlackBerry … en als het zo doorgaat … Apple?

    Gebruikers van alle OS’en lijken zich graag te willen ‘groeperen’: diehard Windows gebruikers moeten vaak niets hebben van Apple MacOS, Apple-gebruikers willen niets van Microsoft weten en Linux-gebruikers vinden zowel systeem, hardware als gebruikers van eerder genoemde platformen suffe gebruikers …

    Ik denk dat een OS niets meer en niets minder is dan een ‘facilitator’, een ‘goede gereedschapkist’ met een ‘fijne’ sortering om uiteindelijk het feitelijke ‘gereedschap’ (lees: programma’s) te kunnen huisvesten …

    macOS doet veel goed, maar het begint steeds meer erop te lijken dat men ook alle programma’s wil incorpereren … En da’ vind ik nie’ zo fijn …

    Niet uit controlle, veiligheid, privacy noch uit praktische oogpunten … Aansluiting ‘met de rest’ is nog verre van perfect, ontsluiten van het eigen platform op andere OS’en is nog verder dan ooit … En men heeft een gesloten eco-systeem gecreerd waarbij het moeilijk gemaakt wordt om op aan te sluiten.

    Neem bijvoorbeeld de twee factor authenticatie … Op Windows en Linux kun je daar een Android, Windows Phone OF iPhone voor gebruiken … Hoe zit dat … onder macOS (Sierra) ?

    iTunes op Windows bekeken? Sorry, maar op MacOS X is het al een dubieus pakket, maar wat Apple voor Windows heeft gebrouwen is te triest voor woorden: alsof men express mindere software heeft gecompileerd om Windows gebruikers te pesten …

    Quicktime voor Windows heeft men geannuleerd … Zit je dan … met .MOV bestanden … Alles weer terug naar een Apple computer om om te zetten naar Matroshka of generiek MP4, want tja … Op Apple kun je niet bouwen.

    Weten we nog het Pages en Keynote debacle? Vanaf een zekere versie (ben het nummer vergeten) werden de oude formaten niet meer gelezen … Ik kan me nog herinneren dat ik heb gevloekt en getiert … Had geupgrade en een paar weken later moest ik een belangrijke presentatie, gemaakt in een oudere versie, bewerken om opnieuw te geven: “kan het bestand niet openen” … Leuk … vooral met een deadline in zicht.

    Microsoft? Die heeft ondanks de vele revisies nog steeds ondersteuning voor legacy formaten. Wat dat betreft een stuk betrouwbaarder.

    iTunes voor Android bekeken? Echt een volwaardige release (not). iCloud werkt halfbakken met Windows, Linux, Android en alles anders dan Apple …

    … maar intussen wordt Google, Microsoft en anderen geregeld geridiculiseerd of zwart gemaakt door Apple gebruikers omdat de support voor Apple zou ontbreken of slecht zou zijn … Pages en Keynote? Zijn die er voor Linux of Windows? Even voor je beeldvorming: Apple is uitgegroeid tot een GIGANT, dus … ze zouden ook rekening mogen houden met andere platformen …

    “Microsoft is slecht bezig want internet explorer (en nu Edge) zitten in het systeem ingebakken” … Ehm, Safari en Webkit? al helemaal op iOS? Iemand?

    Ik kan een hele lange lijst compileren van dingen die mis zijn op Windows, Linux, Unix (van Irix, Sun tot en met HP en AIX), System/Z, IBM i, OpenVMS en nog vele andere exoten … En ja, ook van MacOS X …

    En dan tot slot wat betreft het doodslaan van elke kritiek op Apple. Een forum zou ertoe moeten bijdragen om de kennis van een platform te delen, meningen uit te wisselen en zo ook de mooie kanten alsmede de leleijke kanten van een platform te bespreken.

    Al hebben bijna alle gebruikers van eerder genoemde platformen in mindere of meerdere mate last van, is het absoluut een voldongen feit dat als het gaat om Apple mensen het zich aantrekken als ware het hun “buurjongen”, “broer”, “vriend” of … de kerk … Kortom, aan kritiek wordt zeer zwaar getilt …

    … in dergelijke gevallen vind ik het niet zo gek dat men Apple-gebruikers vergelijkt met een sectarisch kerkgenootschap … Er is namelijk een zeker fanatisme te bespeuren die soms zelfs best eng is …

    Dat ik Apple voor tientduizenden euro’s heb gesupport en Apple nog steeds support, wil niet zeggen dat ik alles maar fantastisch moet vinden.

    Een analogie is voor mij te vinden in mijn geliefde automerken, waar Mercedes-Benz een van is … Tussen de auto’s is al sinds 12 jaar altijd wel een MB te vinden. De A, B, C, E, ML en S … zijn inmiddels versleten … Met veel plezier … Maar dat wil niet zeggen dat ik alles “wallahala” en fantastisch vind wat uit de Mercedes-Benz koker komt …

    De nieuwe C-klasse vind ik ‘zo zo’ en de keuze om een soort van losse terminal midden op een goedkoop ogend dashboard te knallen vind ik Mercedes-Benz onwaardig … Zo ook de keuze om standaard een ‘dubbele uitlaat LOOK’ te integreren in de achterbumper. Triest … COMAND vergeleken met bepaalde Aziatische merken en zeker ook BMW is een nogal wat ‘roestig’ systeem.

    Technisch zijn er ook de nodige zaken aan te merken. Omdat ik van de design-taal, rij-comfort en vermogen heb mogen genieten in het verleden, wil toch niet zeggen dat ik geen kritiek mag leveren op Mercedes-Benz …

    … waarin is Apple dan anders? Want zodra je komt met excuses in welke vorm ook, betekend dat dat je Apple verheft boven het commerciele aspect … Hetgeen volgens mij, kort en netjes gesteld: onzin is.

    Apple is een bedrijf met winstoogmerk. Geen emotie, geen compassie, geen religie … Gewoon CAPEX/OPEX, ROI, TCO, BPO, maximalisatie, keiharde valuta, marketing en verkoop …

    Zie winstmaximalisatie met het weghalen van de mogelijkheid tot upgraden van geheugen (RAM), opslag (HDD/SSD) en de eigen interfaces, waar natuuuuuurlijk weer … een dongle voor nodig is …

    Apple is een mooi bedrijf dat het goed voor elkaar heeft, maar dat wil niet zeggen dat alles goud is dat blinkt.

  • Profielfoto
    Useless

    Ik ben het helemaal met je ( @doctor_apple ) eens.