Digitaal gewaarmerkte malware voor Mac OS X 10.8 aangetroffen

Tijdens een workshop van het Oslo Freedom Forum is door Jacob Appelbaum nieuwe malware ontdekt op de Mac van een Afrikaanse activist. Het meest opvallende aan deze malware is dat de software digitaal is ondertekend door een officiƫle Apple ontwikkelaar. Hiermee wordt de Gatekeeper beveiliging omzeilt, maar is de malware ook te herleiden naar de bron. Deze vorm van malware infecties zijn uitzonderlijk voor Apple besturingssystemen.

Anti-virus leverancier F-Secure heeft de malware geanalyseerd en hierover details vrijgegeven. De malware staat onder applicatienaam ‘macs’ in de gebruikersmap en is aanwezig in de Login items. Het beveiligingsbedrijf heeft de malware ‘OSX/KitM.A’ genoemd.

De malware is via spearphising (malware verspreiding met gerichte phisingemails) op de Mac van de activist terecht gekomen. De emails en nieuwe versies van de malware payload zijn in bezit van Appelbaum.

Eenmaal actief neemt de applicatie regelmatig screenshots die in een map genaamd ‘MacApp’ worden geplaatst. De malware probeerde contact te maken met twee Command & Control (C&C) servers die inmiddels uit de lucht zijn. Het domein van de ene C&C server was niet meer bereikbaar, op de andere server was toegang tot de aangeroepen pagina’s verboden.

Apple heeft Gatekeeper toegevoegd aan Mac OS X 10.8, waardoor alle applicaties met de Apple Developer ID van de ontwikkelaar moeten worden gewaarmerkt. Zonder deze digitale handtekening geeft Gatekeeper een waarschuwing en wordt de applicatie niet uitgevoerd. Dankzij de ondertekening is opsporing van de auteur van deze malware mogelijk heel eenvoudig.

Aanmelden voor onze nieuwsbrief