Abonneer je gratis op Techzine!

Er is nieuwe malware voor Mac OS X ontdekt die de gebruiker afluistert via de ingebouwde microfoon en regelmatig screenshots van het scherm maakt. Dit heeft F-Secure ontdekt. Daarnaast is er malware ontdekt die de FBI imiteert.

De afluistermalware gebruikt tevergeefs een truc om de gebruiker te laten geloven dat het te maken heeft met een .pdf-bestand. In werkelijkheid gaat het echter om een uitvoerbaar bestand dat bij het uitvoeren kwaadaardige acties onderneemt.

Deze truc werkt echter niet. De malware probeert met een speciaal unicode-karakter de tekstrichting om te draaien, zodat ook de extensie .ppa wordt en de gebruiker dus denk dat het geen .app-bestand is. OS X heeft dit door en toont alsnog de .app-extensie correct achteraan het bestand.

Voert de gebruiker ondanks de verdachte bestandsnaam (RecentNews.pdf.app) het bestand toch uit, dan wordt de waarschuwing die OS X standaard weergeeft bij het uitvoeren van een webbestand wel met tekst van rechts naar links in plaats van andersom weergegeven. Klikt de gebruiker ook dan op Open, dan wordt een .pdf-bestand weergegeven, maar wordt op de achtergrond vanaf nu de microfoon afgeluisterd en het scherm regelmatig vastgelegd en doorgestuurd.

Het bestand is overigens voorzien van een legitiem Apple Developer ID. Dit was eerder het geval bij malware voor OS X.

De malware is uitgebreid geanalyseerd door F-Secure, waar er meer informatie over te vinden is.

De malware die de FBI imiteert is ransomware: gegevens op de pc zouden in gevaar zijn, tenzij de gebruiker een bedrag betaalt. De malware probeert de gebruiker te laten geloven dat het om een boete gaat, opgelegd door de FBI en dat als deze boete niet betaald wordt, er verdere stappen zullen worden ondernomen en de gebruiker gearresteerd zal worden. De boete bedraagt 300 dollar.

Er wordt gebruik gemaakt van de optie om pagina’s te herstellen bij een crash van de browser om de pagina weer te geven. Hierdoor kan de pagina niet zomaar gesloten worden. Indien dat wordt geprobeerd, wordt de melding weergegeven dat de browser is vergrendeld. Bij het gedwongen afsluiten van de browser komt de pagina ook terug.

De malware is ontdekt door Malwarebytes en kan worden opgeruimd door Safari te herstellen, iets wat in de video hieronder wordt uitgelegd.