Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Mac-trojan gebruikt vals certificaat voor infectie

Door: | 24 februari 2012 10:43

Apple

Een trojan voor Mac heeft een nieuwe manier gevonden om een systeem binnen te dringen. Naast twee verschillende Java-lekken kan ook een vals certificaat gebruikt worden om de computer te besmetten.

De Flashback-trojan kan gebruik maken van drie verschillende methoden om een systeem binnen te dringen. Naast het gebruik van twee verschillende lekken in Java kent de malware ook een geraffineerde social engineering-truc, zo ontdekte beveiligingsbedrijf Intego.

Certificaat van 'Apple'

Bij gebrek aan Java-lekken probeert Flashback gebruikers over te halen een vals certificaat te accepteren, zo ontdekte beveiligingsbedrijf Intego. Dat certificaat is een root-certificaat dat lijkt te zijn getekend door Apple zelf. Omdat veel gebruikers geen benul zullen hebben waar de waarschuwing over gaat is de kans groot dat het ongezien wordt geaccepteerd.

In september en oktober liet Flashback al van zich horen. Verschillende varianten van de malware wisten de ingebouwde malwarebeveiliging van Mac OS X te omzeilen. Eenmaal geïnstalleerd schakelde Flashback virus- en malware-beveiliging helemaal uit. Daarvoor werden bestanden die nodig zijn voor het updaten overschreven.

Op zoek naar wachtwoorden

Het doel van de trojan is het bemachtigen van zoveel mogelijk gebruikersnamen en wachtwoorden. Als Flashback eenmaal in het systeem zit 'patcht' het applicaties als webbrowsers en andere applicaties die het netwerk gebruiken. Vervolgens wordt een aantal domeinen in de gaten gehouden. Waaronder Google, Yahoo, CNN, websites voor internetbankieren en PayPal.

Het werk van de trojan is te herkennen aan het plotseling crashen van die applicaties. Bij alle gebruikers die dit melden is volgens Intego een verborgen bestand met de extentie .so aanwezig. Verder beschikt de trojan over een automatisch updatemechanisme, een aantal websites wordt afgezocht naar de nieuwste versie.

Meeste infecties op Snow Leopard

Vooral gebruikers van Mac OS X Snow Leopard lopen volgens Intego gevaar, die versie van het Mac-besturingssysteem heeft Java voorgeïnstalleerd. In het nieuwe OS X Lion is dat niet langer het geval. Omdat veel gebruikers Java niet direct nodig hebben zal een groot deel van de gebruikers de software niet installeren op hun systeem, vermoedt Intego. In de huidige versie van Java voor Mac OS X zijn de gebruikte kwetsbaarheden gepatcht.

0 Reacties op: Mac-trojan gebruikt vals certificaat voor infectie

  • Om te reageren moet je ingelogd zijn. Nog geen account? Registreer je dan en praat mee!
  • Er zijn nog geen reacties op dit artikel.

Wanneer je een reactie plaatst ga je akoord
met onze voorwaarden voor reacties.