Mac malware: Crossrider vermomt zich als Flash installatieprogramma

Door: Jan de Raab - 8 reacties

Net als Linux systemen, zijn Macs zijn niet immuun voor malware, maar ze zijn behoorlijk goed beschermd. Standaard staat macOS niet toe dat onofficiële apps worden geïnstalleerd en dient de gebruiker toestemming te verlenen om deze beveiliging te overschrijven. Zelfs als dergelijke apps zijn geïnstalleerd, beperkt sandboxing de schade die kan worden aangericht. Daarom is de meeste Mac-malware eigenlijk adware – irritant maar niet schadelijk.

Een veel voorkomende manier voor aanvallers om malware op een Mac te krijgen, is om het te vermommen als iets anders en minder ervaren gebruikers te misleiden om het toch te installeren. Valse installatieprogramma’s voor Adobe Flash Player zijn bijzonder geliefd en Malwarebytes heeft een variant gevonden die gemener is dan normaal.

Crossrider, de nieuwe versie

Meestal kan beveiligingssoftware, zoals Malwarebytes, automatisch zoeken naar malware en deze verwijderen. Een nieuwe versie van Crossrider adware heeft een nieuwe truc om zichzelf te beschermen tegen verwijdering, zoals de blog van het bedrijf uitlegt. De malware wijzigt de startpagina in zowel Safari browser als ook in de veelgebruikte Chrome browser. Deze kan dan niet opnieuw gewijzigd worden.

Na het verwijderen van Advanced Mac Cleaner en het verwijderen van alle verschillende onderdelen van Crossrider die in het systeem zijn achtergebleven, is er nog steeds een probleem. De startpagina van Safari is nog steeds vergrendeld voor een Crossrider-gerelateerd domein en kan niet worden gewijzigd.

Het configuratieprofiel

Het blijkt dat dit wordt veroorzaakt door een configuratieprofiel dat door de adware op het systeem is geïnstalleerd. Configuratieprofielen bieden IT-beheerders de mogelijkheid om het gedrag van hun systemen te controleren. Deze profielen stellen de IT-beheerder in staat om de Mac zodanig te  configureren dat deze voor specifieke taken geschikt zijn.

In het geval van deze Crossrider-variant dwingt het configuratieprofiel dat is geïnstalleerd, zowel Safari als Chrome om altijd te openen met de webpagina van chumsearch [punt] com. Deze aanpassing van het bewuste profiel voorkomt ook dat de gebruiker dit gedrag in de browserinstellingen wijzigt. Zelfs het opsporen van het bewuste profiel is een lastige taak voor de meeste gebruikers.

Startpagina aanpassen

Het bewuste profiel wordt geïnstalleerd met een ID van com.myshopcoupon.www. Dit is echter niet zichtbaar in de systeemvoorkeuren. Het profiel kan echter zeker worden geïdentificeerd door de details te doorzaken en te letten op verwijzingen naar chumsearch [dot] com. Zodra je het profiel hebt gevonden, kun je het verwijderen door in het profiel te klikken (in dit geval wordt het weergegeven als AdminPrefs) en vervolgens op de minusknop hieronder te klikken om het te verwijderen. Zodra dit is gebeurd, kun je de startpagina opnieuw starten en wijzigen.

PSA: There’s a new fake Flash Player installer for Macs, and it’s nastier than usual

Reacties

8 reacties
  • Profielfoto
    vanderveen.anne

    Klopt dit allemaal wel?

    Dit stuk lijkt een vertaling van informatie op 9to5mac.com; maar in plaats van “Na het verwijderen van de malware met behulp van Advanced Mac Cleaner etc”, staat in het Engelse stuk  “After removing Advanced Mac Cleaner, and removing all the various components etc”.

    Dat is wel een essentieel verschil.

  • Profielfoto
    Night

    Ik mis sowieso een alinea: het springt van malware naar AMC, zonder het verband tussen die twee te verduidelijken.

  • Profielfoto
    Mac Hammer Fan

    Opgelet: Advanced Mac Cleaner moet je mijden als de pest. Het is malware die moeilijk te verwijderen is.

  • Profielfoto
    Night

    This new Crossrider variant doesn’t look like much on the surface. It’s yet another fake Adobe Flash Player installer, looking like the thousands of others we’ve seen over the years.

    Opening the installer results in a familiar install process, with nothing unique about it. In the course of installation, it dumps a copy of Advanced Mac Cleaner, which commences to announce that it has found problems with your system using Siri’s voice. (No such problems actually exist, of course.) Safari also pops open and then closes again suspiciously. This is all very blasé, as far as malware goes.

    En dan wordt het verhaal langzaam duidelijker.

  • Profielfoto
    Night

    Ik vind dat 9to5Mac (bron van dit artikel) de zaak een beetje onoverzichtelijk heeft pogen in te korten.

    Het duidelijkere verhaal (inclusief voorbeeldillustraties) vind je hier
    https://blog.malwarebytes.com/threat-analysis/2018/04/new-crossrider-variant-installs-configuration-profiles-on-macs/

  • Profielfoto
    Joid

    @Night Dus daar ligt dan de fout? Niet bij OMT voor nog foutiever kopiëren van de tekst?
    Als ze de tekst door Google Translate hadden laten vertalen was het nog beter geweest.

    Stel ik ben een nieuwe onwetende Mac gebruiker en ik lees dit artikel van het ‘gerenommeerde’ OMT, en ik volg het vage advies op, dan breng ik mijn dure Apple spul serieus in de problemen.

    Ik gun Raymon zijn vakantie. Maar artikelen laten schrijven door gasten die werkelijk geen ene reet van Macs begrijpen is ronduit gevaarlijk.

    Artikel is gelukkig inmiddels aangepast. Maar dat zal niet dankzij het voortschrijdend inzicht van de schrijver zijn gebeurd.

  • Profielfoto
    csteelooper

    Joid op 29 april 2018 11:26
    @Night Dus daar ligt dan de fout? Niet bij OMT voor nog foutiever kopiëren van de tekst?
    Als ze de tekst door Google Translate hadden laten vertalen was het nog beter geweest.

    Stel ik ben een nieuwe onwetende Mac gebruiker en ik lees dit artikel van het ‘gerenommeerde’ OMT, en ik volg het vage advies op, dan breng ik mijn dure Apple spul serieus in de problemen.

    Ik gun Raymon zijn vakantie. Maar artikelen laten schrijven door gasten die werkelijk geen ene reet van Macs begrijpen is ronduit gevaarlijk.

    Artikel is gelukkig inmiddels aangepast. Maar dat zal niet dankzij het voortschrijdend inzicht van de schrijver zijn gebeurd.

    +1. Vraagje: waarom is niet meer duidelijk te zien wíe een artikel schreef? Bang voor repressailles of zo? Met dit soort missers kan ik me zoiets wel voorstellen… Het wordt natuurlijk nog erger als zelfs in de ‘bron’ niet alle informatie is opgenomen…

  • Profielfoto
    recoiller

    Is dit “door de details te doorzaken ” een goed Nederlands? Moet denk ik “doorzoeken” zijn?