Trojan voor Mac OS X verstopt zich in PDF-bestand

Dit zeggen beveiligingsexperts van F-Secure. De trojan, die geïdentificeerd is als Trojan-Dropper:OSX/Revir.A, wordt geïnstalleerd zodra het Chineestalige PDF-bestand wordt geopend. Bij het openen van dmg-bestanden vraagt Mac OS of je bekend bent met de bron van het bestand. Deze waarschuwing wordt niet geactiveerd door de trojan. Het installatieproces vindt dan ook volledig op de achtergrond plaats, waardoor je niet in de gaten hebt dat je Mac is geïnfecteerd. De hackers kunnen vervolgens via een website de trojan's aansturen.

De hackers lijken hiermee de van Windows bekende .pdf.exe-truc te kopiëren. Bij deze truc wordt een dubbele extensie gebruikt, in een poging de gebruiker te overtuigen dat de trojan een PDF-bestand is. De truc lijkt op de Mac echter gevaarlijk uit te pakken, aangezien het niet noodzakelijk is een dubbele extensie als .pdf.dmg te gebruiken. De trojan is hierdoor aanzienlijk moeilijker te herkennen.

Op het moment is het domein waar het 'commandocentrum' van de trojan is geplaatst slechts een kale Apache-installatie. De installatie staat volgens de onderzoekers sinds mei ongewijzigd op de website en nog niet in staat is om met geïnfecteerde machines te communiceren. De onderzoekers denken daarom de malware tijdens de ontwikkeling te hebben ontdekt. Ook stellen de onderzoekers dat de maker van de trojan mogelijk aan het testen was of de trojan door virusscanners wordt opgemerkt.

© PXimport

Het besmette PDF-bestand

Het is niet helemaal duidelijk hoe de trojan zich verspreid. De onderzoekers hebben het vermoeden dat de trojan als bijlage via de mail wordt verspreid. Trojans die verstopt zitten in een PDF-bestand zijn met name op Windows een groot probleem. Tot nu toe werden dit soort trojans maar weinig aangetroffen op Mac's.