Gebruikmakend van een primitieve Windows-techniek die afhankelijk is van automatisch draaiende macro's die zijn ingebed in Microsoft Word-documenten, is recent een nieuw type Mac-malware-aanval ontdekt. Zoals voor het eerst opgemerkt in een onderzoek samengesteld door Objective-See, kan de gebruikte techniek grof zijn, maar zodra een nietsvermoedende gebruiker een geïnfecteerd Word-document opent en ervoor kiest om de macro's uit te voeren, installeert de malware zichzelf stil op de doel-Mac en probeert onmiddellijk een gevaarlijke lading.
De aanval werd voor het eerst ontdekt in een Word-bestand met de titel 'U.S. Allies and Rivals Digest Trump's Victory - Carnegie Endowment for International Peace. ”
Na het openen van een geïnfecteerd document in Word voor Mac en klikken Macro's inschakelen in het dialoogvenster doet de ingesloten macro de volgende dingen:
- Controleert of de LittleSnitch-beveiligingsfirewall niet actief is.
- Downloadt een gecodeerde tweede fase payload.
- Decodeert de lading met een hard-coded sleutel.
- Voert de lading uit.
Eenmaal geïnstalleerd, kan de payload mogelijk uw toetsaanslagen registreren, de camera en het systeemklembord controleren, screenshots maken, toegang krijgen tot iMessage, uw browsegeschiedenis ophalen en meer. Het voert zichzelf ook automatisch uit na een herstart.
Gelukkig is het externe payload-bestand sindsdien van de server verwijderd.
Hoewel gevaarlijk, is dit geen bijzonder geavanceerde vorm van aanval.
Je kunt jezelf beschermen tegen dit soort aanvallen door ervoor te zorgen dat je klikt Macro's uitschakelen bij het openen van een verdacht Word-document. Gezien de prevalentie van op macro's gebaseerde malware op Windows, is het een wonder dat Microsoft een duidelijke waarschuwing over virussen in de dialoog van Word heeft opgenomen.
Bron: Objective-See via Ars Technica
