Geavanceerde OS X-trojan infecteert journalisten

Door: | 27 juli 2012 12:07

Apple

Een nieuwe, complexe Mac-trojan die zich stilletjes installeert is gebruikt in een gerichte aanval op journalisten. De geavanceerde spionagemalware heeft geen adminrechten nodig.

De pas ontdekte malware OSX/Crisis is volgens antivirusbedrijf Intego gebruikt zijn in een gerichte aanval op een groep journalisten in Marokko. Een Marokkaanse journalist trof de malware op zijn Mac aan. De groep verslaggevers die werd aangevallen, ontving volgens de virusonderzoekers van Intego eerder nog een prijs van Google voor hun bijdragen tijdens de Arabische Lente.

Complexe spionagesoftware

Het is niet bekend of Crisis verder nog Macs heeft geïnfecteerd. De trojan werd eerder deze week ontdekt en viel meteen op omdat hij zeer complex is opgebouwd, veel toepassingen in de smiezen houdt en geen speciale rechten nodig heeft om kwaadaardige code uit te voeren.

De trojan maakt mappen aan op het systeem om te blijven draaien en een backdoor te openen. Het programma stuurt elke vijf minuten een bericht naar een externe server en wacht op een opdracht. Ook al was de software zo gebouwd dat hij lastig te analyseren was, viel meteen op dat het om een geavanceerde backdoor ging.

Trojan installeert rootkit

De trojan werkt in Snow Leopard en Lion, maar niet in de nieuwste versie Mountain Lion. De malware beschermt zichzelf bij het opnieuw opstarten van het systeem en blijft rustig doordraaien. Als de schadelijke software wordt gedraaid met adminrechten, installeert het meteen een rootkit om zichzelf te verbergen.

Onderzoekers van Intego hebben de grootste moeite het virus te reverse-engineeren. Het soort middelen dat wordt gebruikt om analyse te bemoeilijken, zijn volgens Intego's hoofdonderzoeker Lisa Meyers gemeengoed bij schadelijke Windows-software, maar is betrekkelijk ongebruikelijk bij OS X-malware.

Alsnog admin verwerven

Intego weet nog niet helemaal wat er nog meer kan gebeuren als Crisis aan de slag gaat zonder adminrechten. Het kan zijn dat het programma probeert alsnog adminrechten te verwerven om de rootkit in te zetten, oppert Meyers in een blogpost over de trojan.

Ook beveiligingsbedrijf Sophos buigt zich momenteel over de nieuwe malware en concludeert dat de trojan het hele systeem in de gaten houdt. Crisis/OSX - ook bekend als Morcut - is een keylogger en stuurt de microfoon en webcam aan. Sophos-onderzoeker Graham Cluley waarschuwt dat dit voorbeeld aangeeft dat Mac-malware steeds complexer en gevaarlijker begint te worden.