Ny skadlig programvara understryker risken för antagen Mac-säkerhet
Den här veckan hittade forskare en bit av skadlig kod i naturen, byggd för att stjäla lösenord från macOS-nyckelringen. Namnet “MacDownloader” och poserar som, vad mer, en falsk Flash Player-uppdatering, den nya skadliga programvaran hittades på Mac av en mänsklig rättighetsförespråkare och tros ha sitt ursprung i Iran. Skadlig kod är väldigt slarvig och verkar ha gjorts av en amatör som tog bitar av andras kod och återinförde dem.
I hotrapporten nämns följande:
MacDownloader verkar vara dåligt utvecklad och skapad i slutet av 2016, potentiellt ett första försök från en amatörutvecklare. I flera fall har den använda koden kopierats från andra håll. Den enkla aktiviteten att ladda ner fjärrfilen verkar ha hämtats från ett fuskark. Huvudsyftet med MacDownloader verkar vara att utföra en första profilering av det infekterade systemet och insamling av referenser från macOS: s lösenordshanterare för nyckelring – vilket speglar fokus för Windows-malware utvecklat av samma aktörer.
För närvarande verkar det som om skadlig kod inte är ett hot och Command & Control-servern har tagits bort. Intego VirusBarrier erbjuder skydd mot denna skadlig kod, upptäckt som OSX / MacDownloader.
Nyttolast för skadlig programvara
Säkerhetsforskare fann att den här skadliga programvaran ursprungligen utformades som ett falskt Bitdefender-antivirusprogram, men senare ompackades som en falsk Flash Player-uppdatering. Efter installationen försöker skadlig programvara uppnå uthållighet genom att använda ett dåligt implementerat skalskript, som vid skrivningstillfället inte fungerade på grund av att C&C-servern var offline.
Hur MacDownloader lurar Mac-användare
MacDownloader visar en falsk Flash Player-uppdatering som erbjuder en “Uppdatera Flash-Player” -knapp och en “Stäng” -knapp. Till skillnad från annan skadlig kod av sitt slag finns det faktiskt installationsprogrammet genom att klicka på knappen Stäng och inget skadligt placeras på systemet. Om du klickar på Uppdateringsknappen dyker det dock upp en dialogruta med skadlig programvara, som naturligtvis också är falsk.
Efter att en användare har klickat på OK efterliknar programvaran Systeminställningarna för att begära administratörslösenordet för att få mer information om systemet. Om användaren anger sitt lösenord och klickar på OK, tar programvaran informationen och försöker sedan öppna en fjärranslutning till:
connect to 46.17.97.37 on TCP port 80 (http) IP Address 46.17.97.37 Reverse DNS Name No Reverse Name Established by /Users/intego/Desktop/addone flashplayer.app/Contents/MacOS/Bitdefender Adware Removal Tool Process ID 1228 User intego (UID: 501)
MacDownloader samlar in information om användarnyckelring och laddar upp den till nämnda C & C-server, inklusive dokument som kör processer, installerade applikationer och användarnamn och lösenord, som förvärvas genom en falsk Systeminställningsdialog.
Namnet och lösenordet, som i nästan alla fall är administratörsuppgifter, ger skadlig programvara allt som behövs för att få tillgång till nyckelringinformationen. Med tillgång till nyckelringen är himlen gränsen, eftersom lösenord för e-postkonton, kontouppgifter för sociala nätverk och mycket mer lagras i nyckelringen. (Mer än tillräckligt med information för identitetsstöld!) Med all information som samlats in och skickats till servern visas en dialogruta som visar att Flash Player-uppdateringen har slutförts. Naturligtvis har ingen Flash Player någonsin installerats eller uppdaterats.
Forskarna gjorde också en intressant observation:
Medan Windows fortfarande är det dominerande operativsystemet i världen, har många samhällen flyttat över till macOS för att säkerställa säkerhet och stabilitet. Mycket av den extra säkerheten som macOS-användare ger kommer dock från en förväntan på Windows av angripare och mindre lätt tillgängliga fjärråtkomstverktyg för OS, snarare än bättre inbyggda försvar. Således riskerar macOS-användare att anta större skydd mot skadlig kod än vad som faktiskt finns och kan vara mer sårbara som ett resultat. En av dessa samhällen är samhället för mänskliga rättigheter, särskilt de som är inriktade på Iran, som baserat på anekdotisk erfarenhet är starkt beroende av Apple-enheter.
Översättning: uppfattningen att människor som dras till Mac-datorer “av säkerhetsskäl”, i kombination med en inneboende tro på att Mac-datorer erbjuder “större skydd mot skadlig programvara än vad som faktiskt finns”, leder till en intressant målgrupp för statliga sponsorer av hacking.
Fortfarande vid liv: myter om skadlig kod i allmänhet, men speciellt Mac-datorer
Kan det vara sant? Är den gamla myten att Mac-datorer är säkrare än Windows-maskiner, direkt ur lådan, fortfarande vid liv?
Jag introducerades först för Mac 1996 och fick min första Mac hemma 1998. Då accepterades bland annat mantran ”det finns inga virus för Mac” och ”Mac är säkrare än Windows” som enkel sanning. Ladda ner vad som helst, sätt i någon CD- eller ZIP-enhet, för inget dåligt kan hända, du är på en Mac! Idag, över två decennier senare, tror många Mac-användare fortfarande att dessa “sanningar” gäller. Som forskarna påpekade finns det samhällen som flyttade till Mac, eftersom de tycker att det ger dem större skydd. Detta gäller även företag och konsumenter.
Om du har läst The Mac Security Blog ett tag är du väl medveten om att det finns gott om skadlig programvara för Mac, och det här är inte de enda hot som kan påverka Mac-användare. Till exempel kan användning av osäker Wi-Fi fånga din information, oavsett om du använder en Mac eller en dator. Att inte använda en brandvägg kan få dig hackad, oavsett om du använder en Mac eller en dator. Och just denna vecka hittades ytterligare ett Mac-hot i form av ett Microsoft Office Word-makro, mer information om det här.
Även på en Mac är det viktigt att vara säkerhetsinriktad. Detta innebär att du använder skiktad säkerhet som en brandvägg och antiviruslösning. Detta innebär också att du hårdnar din MacOS-installation och använder bästa praxis när du använder öppet Wi-Fi eller när du använder din Mac i en delad miljö.
Även om det inte finns nästan lika många hot där ute för Mac som för Windows, finns det tillräckligt för att riskera dig. Varje år när Mac-marknadsandelen ökar blir det mer intressant och potentiellt lönsamt för skadliga programförfattare att fokusera på Mac. Riktade attacker via nätfiske eller social teknik till en Mac-användare eller liten grupp användare (till exempel ett företag) kommer vanligtvis att upptäckas mycket längre, vilket ökar chanserna för utbetalning. Oavsett om utbetalning innebär en lyckad stöld av användardata eller ransomware, desto längre kan skadlig programvara vara aktiv och oupptäckt, desto bättre.
Och för Petes skull, antag inte att din Mac erbjuder större skydd mot skadlig kod än vad som faktiskt finns, annars kan du bli mer sårbar som ett resultat.
Om Mike Jones
Mike Jones är en IT-konsult med en passion för säkerhetsforskning på Mac. Han genomför oberoende skydd mot skadlig programvara och skriver också om sekretess och säkerhetsrelaterade frågor på sin blogg Security Spread. Följ honom på Twitter på @SecuritySpread. Visa alla inlägg av Mike Jones → Detta inlägg postades i Malware, rekommenderas, säkerhetsnyheter och taggade OSX / MacDownloader. Bokmärk permalänken.