Jan de Raab
Jan de Raab Nieuws 28 april 2018
Leestijd: 2 minuten

Mac malware: Crossrider vermomt zich als Flash installatieprogramma

Net als Linux systemen, zijn Macs zijn niet immuun voor malware, maar ze zijn behoorlijk goed beschermd. Standaard staat macOS niet toe dat onofficiële apps worden geïnstalleerd en dient de gebruiker toestemming te verlenen om deze beveiliging te overschrijven. Zelfs als dergelijke apps zijn geïnstalleerd, beperkt sandboxing de schade die kan worden aangericht. Daarom is de meeste Mac-malware eigenlijk adware – irritant maar niet schadelijk.

Een veel voorkomende manier voor aanvallers om malware op een Mac te krijgen, is om het te vermommen als iets anders en minder ervaren gebruikers te misleiden om het toch te installeren. Valse installatieprogramma’s voor Adobe Flash Player zijn bijzonder geliefd en Malwarebytes heeft een variant gevonden die gemener is dan normaal.

Crossrider, de nieuwe versie

Meestal kan beveiligingssoftware, zoals Malwarebytes, automatisch zoeken naar malware en deze verwijderen. Een nieuwe versie van Crossrider adware heeft een nieuwe truc om zichzelf te beschermen tegen verwijdering, zoals de blog van het bedrijf uitlegt. De malware wijzigt de startpagina in zowel Safari browser als ook in de veelgebruikte Chrome browser. Deze kan dan niet opnieuw gewijzigd worden.

Na het verwijderen van Advanced Mac Cleaner en het verwijderen van alle verschillende onderdelen van Crossrider die in het systeem zijn achtergebleven, is er nog steeds een probleem. De startpagina van Safari is nog steeds vergrendeld voor een Crossrider-gerelateerd domein en kan niet worden gewijzigd.

Het configuratieprofiel

Het blijkt dat dit wordt veroorzaakt door een configuratieprofiel dat door de adware op het systeem is geïnstalleerd. Configuratieprofielen bieden IT-beheerders de mogelijkheid om het gedrag van hun systemen te controleren. Deze profielen stellen de IT-beheerder in staat om de Mac zodanig te  configureren dat deze voor specifieke taken geschikt zijn.

In het geval van deze Crossrider-variant dwingt het configuratieprofiel dat is geïnstalleerd, zowel Safari als Chrome om altijd te openen met de webpagina van chumsearch [punt] com. Deze aanpassing van het bewuste profiel voorkomt ook dat de gebruiker dit gedrag in de browserinstellingen wijzigt. Zelfs het opsporen van het bewuste profiel is een lastige taak voor de meeste gebruikers.

Startpagina aanpassen

Het bewuste profiel wordt geïnstalleerd met een ID van com.myshopcoupon.www. Dit is echter niet zichtbaar in de systeemvoorkeuren. Het profiel kan echter zeker worden geïdentificeerd door de details te doorzaken en te letten op verwijzingen naar chumsearch [dot] com. Zodra je het profiel hebt gevonden, kun je het verwijderen door in het profiel te klikken (in dit geval wordt het weergegeven als AdminPrefs) en vervolgens op de minusknop hieronder te klikken om het te verwijderen. Zodra dit is gebeurd, kun je de startpagina opnieuw starten en wijzigen.

Foutje gezien? Mail ons. Wij zijn je dankbaar.

Begin je weekend met de beste artikelen van OMT

Een goed weekend begint met de nieuwsbrief van One More Thing

Reageer op artikel:
Mac malware: Crossrider vermomt zich als Flash installatieprogramma
Sluiten