Mac-trojan gebruikt vals certificaat voor infectie

Door: | 24 februari 2012 10:02

Apple

Een trojan voor Mac heeft een nieuwe manier gevonden om een systeem binnen te dringen. Naast twee verschillende Java-lekken kan ook een vals certificaat gebruikt worden om de computer te besmetten.

De Flashback-trojan kan gebruik maken van drie verschillende methoden om een systeem binnen te dringen. Naast het gebruik van twee verschillende lekken in Java kent de malware ook een geraffineerde social engineering-truc, zo ontdekte beveiligingsbedrijf Intego.

Certificaat van 'Apple'

Bij gebrek aan Java-lekken probeert Flashback gebruikers over te halen een vals certificaat te accepteren, zo ontdekte beveiligingsbedrijf Intego. Dat certificaat is een root-certificaat dat lijkt te zijn getekend door Apple zelf. Omdat veel gebruikers geen benul zullen hebben waar de waarschuwing over gaat is de kans groot dat het ongezien wordt geaccepteerd.

In september en oktober liet Flashback al van zich horen. Verschillende varianten van de malware wisten de ingebouwde malwarebeveiliging van Mac OS X te omzeilen. Eenmaal geïnstalleerd schakelde Flashback virus- en malware-beveiliging helemaal uit. Daarvoor werden bestanden die nodig zijn voor het updaten overschreven.

Op zoek naar wachtwoorden

Het doel van de trojan is het bemachtigen van zoveel mogelijk gebruikersnamen en wachtwoorden. Als Flashback eenmaal in het systeem zit 'patcht' het applicaties als webbrowsers en andere applicaties die het netwerk gebruiken. Vervolgens wordt een aantal domeinen in de gaten gehouden. Waaronder Google, Yahoo, CNN, websites voor internetbankieren en PayPal.

Het werk van de trojan is te herkennen aan het plotseling crashen van die applicaties. Bij alle gebruikers die dit melden is volgens Intego een verborgen bestand met de extentie .so aanwezig. Verder beschikt de trojan over een automatisch updatemechanisme, een aantal websites wordt afgezocht naar de nieuwste versie.

Meeste infecties op Snow Leopard

Vooral gebruikers van Mac OS X Snow Leopard lopen volgens Intego gevaar, die versie van het Mac-besturingssysteem heeft Java voorgeïnstalleerd. In het nieuwe OS X Lion is dat niet langer het geval. Omdat veel gebruikers Java niet direct nodig hebben zal een groot deel van de gebruikers de software niet installeren op hun systeem, vermoedt Intego. In de huidige versie van Java voor Mac OS X zijn de gebruikte kwetsbaarheden gepatcht.