Ontwikkelaar van beveiligingssoftware Malwarebytes heeft zojuist het eerste bekende geval van Mac-malware voor het jaar 2017 blootgelegd.
Het lijkt een zeer verouderde malware. Met andere woorden, het is niet super geavanceerd en het gebruikt methoden om machines te infecteren die zo bekend zijn dat slechts een klein aantal nietsvermoedende gebruikers er zelfs slachtoffer van worden.
Volgens het rapport van Malwarebytes vertrouwt deze malware op twee dingen: een verborgen bestand en de actie van de gebruiker om het bestand te activeren. Dit kan worden bereikt met een gebruikersinterface die er legitiem uitziet en vervolgens de lancering van de malware afdwingt in plaats van wat de gebruiker verwachtte te starten.
Deze malware lijkt zich meer dan ooit op biomedische onderzoeksinstellingen te richten, dus het is niet echt bedoeld om de algemene bevolking te schaden. Desondanks opent het een achterdeur en kan iedereen die luistert luisteren basisinformatie, zoals schermafbeeldingen, systeem-up-time gegevens, muiscursorpositie, en meer; een ernstige inbreuk op de beveiliging.
Deze informatie wordt vervolgens onopvallend doorgegeven aan de luisteraar via een server van derden, dus het vereist een internetverbinding. Om te voorkomen dat het wordt opgemerkt, zorgt een speciale booleaanse variabele in de code ervoor dat de malware-app niet in het Dock wordt opgemerkt.
Opmerkelijk is ook hoe deze malware code heeft voor het simuleren van muiscursorbewegingen en klikken, evenals toetsaanslagen op toetsen, die beide middelen lijken te zijn van afstandsbediening wanneer de luisteraar meer toegang wil hebben. Misschien met een beetje hulp van het up-time schema, weet de luisteraar wanneer mensen weg zijn en kan kwaadaardige dingen doen wanneer de tijd rijp is.
Naar verluidt werkte de code prima op Linux-gebaseerde machines, evenals die van Macs met MacOS van Apple, dus het lijkt levensvatbaar op twee verschillende platforms.
Interessant is dat Malwarebytes erop wijst dat, omdat de malware een dergelijke verouderde aanvalsmethode gebruikt, het gemakkelijk zou zijn om deze te herkennen en te verwijderen via een getraind oog of met programma's voor het verwijderen van malware. Dat gezegd hebbende, het infecteert machines die duidelijk niet veel anti-malwarebehandeling krijgen - dus misschien moeten ze beginnen.
De experts die de reverse engineering van de malware hebben uitgevoerd, vonden commentaarbestanden die suggereren dat deze malware al geruime tijd van kracht is; tenminste sinds OS X Yosemite (gelanceerd in 2014). De reden dat deze malware zo lang onopgemerkt is gebleven, was omdat het gericht was op een zeer klein voorbeeld van machines. Als het op meer machines aanwezig was geweest, is het misschien opgemerkt en veel sneller gemeld.
Het is zeer onwaarschijnlijk dat je Mac thuis is geïnfecteerd met deze malware, die wordt nagesynchroniseerd OSX.Backdoor.Quimitchin, genoemd naar de Azteekse spionnen die bekend stonden om het infiltreren van andere stammen voor informatie. Dat wil echter niet zeggen dat andere malafide malware je machine niet kon infecteren, dus je moet altijd op je hoede zijn voor wat je downloadt.