Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Oude FruitFly-malware dient tot het in de gaten houden van Mac-gebruikers'

Door , 70 reacties

Beveiligingsonderzoeker Patrick Wardle heeft een variant van Mac-malware gevonden, die als doel heeft om gebruikers van geïnfecteerde systemen in de gaten te houden. Het is onduidelijk wie er achter de zogenaamde FruitFly-malware zit, die al minstens vijf jaar ongedetecteerd actief is.

Wardle is niet de eerste die de malware vindt, zo meldt Motherboard. Beveiligingsbedrijf Malwarebytes heeft al eerder een variant van de kwaadaardige software ontdekt. De variant die Wardle ontdekte en onderzocht, noemt hij dan ook FruitFly 2. De malware is in Perl geschreven, een taal die voor malware 'archaïsch' is, aldus de onderzoeker. Bovendien wordt er oude code gebruikt en verwijst commentaar in de code naar ouder versies van het Apple-besturingssysteem, zoals Yosemite. Het doel van FruitFly is om gebruikers in de gaten te houden, bijvoorbeeld door toetsaanslagen, schermafbeeldingen en video's vast te leggen.

FruitFly 2 kan daarnaast ongewone acties uitvoeren als het bewegen van de cursor en het op afstand overnemen van het toetsenbord. Veel is onbekend over de malware. Zo past de kwaadaardige software niet in de standaardformules van internetcriminelen of overheden. De malware is niet bijzonder geavanceerd en past daarom niet in die laatste categorie. Volgens Wardle wekt FruitFly de indruk alsof het is geschreven door een persoon om specifieke individuen in de gaten te houden. Ook de verspreidingsmanier van de malware blijkt vooralsnog een mysterie. Ten tijde van de ontdekking van de tweede variant werd deze door geen enkele antivirussoftware ontdekt.

In de loop van zijn onderzoek kwam Wardle erachter dat de malware communiceerde met verschillende servers, waaronder een aantal back-updomeinen voor het geval dat er eentje zou uitvallen. Door een van deze domeinen te registreren, was Wardle in staat om te zien welk verkeer de malware genereert. Een bijkomstigheid was dat ook 400 andere geïnfecteerde systemen verbinding maakten met zijn server. Daarvan kwam 90 procent uit de VS en Canada. Hoewel er een aantal onderzoeksinstellingen tussen zitten, gaat het volgens Wardle voornamelijk om 'gewone mensen'. De door Malwarebytes ontdekte variant richtte zich op biomedische onderzoeksinstellingen.

De onderzoeker meldde zijn bevindingen aan de FBI en Apple was niet beschikbaar voor vragen van Motherboard. Tweakers sprak eerder met Wardle over macOS-malware. De onderzoeker is een voormalig NSA-medewerker en ontwikkelt tegenwoordig onder meer zijn eigen gratis beveiligingstools. Wardle presenteert zijn bevindingen deze week op de Black Hat-conferentie in Las Vegas.

Sander van Voorst

Nieuwsredacteur

Reacties (70)

Wijzig sortering
Deze meneer Wardle maakt inderdaad een aantal mooie tools voor macOS. Zou niet graag zonder KnockKock of BlockBlock willen. Virusscanners voor macOS zijn het m.i. niet waard, maar deze twee tooltjes i.c.m. Little Snitch geven een aardig beeld van je systeem en z'n actieve (launch)processen.
Virusscanners voor macOS zijn het m.i. niet waard
Het is ondertussen 2017, ik denk niet dat het "Apple computers hebben geen virussen"-praatje meer op gaat.
Dat is zijn stelling ook niet, ze zijn het niet waard. Virussen - zeker op MacOS - komen alleen binnen via zero-day exploits die vaak snel opgelost worden door Apple zelf. Hoe zou een virusscanner beter zijn dan dat? Hoeveel virussen houden ze echt tegen?

De laatste ervaringen met virusscanners die ik had op Windows, denk tien jaar geleden, was dat het eerste wat ze doen is de virusscanner uitzetten / omzeilen en je backups stuq maken.
Het idee dat een virus scanner enkel en alleen maar kan verdedigen tegen virussen die gekend zijn via een signature en door heuristic scanning is fout maar hardnekkig.
Dat een anti virus uitgezet word is natuurlijk handig voor het virus maar dan heb je ofwel een geavanceerd virus ofwel een antivirus met een slechte self defence.

Wat kan een anti virus dan nog doen tegen ongewenste software hoor ik je denken? Wel een goede firewall helpt, blacklisten van gekende hostinglocaties/url's van ongewenste software, blokkeren van advertenties die een incorrect certificaat gebruiken, scramblen van input gegevens bij gevoelige websites om keyloggers buiten spel te zetten, automatisch externe software updaten (denk aan java, flash, browsers, etc), en zo zijn er nog een paar.

Nu hoor ik je denken, dat zal allemaal wel helpen maar wat helpt het tegen een zero day exploit? Een goede antivirus kijkt verder dan zijn neus lang is en heeft ook een whitelist van gekende software en processen. Start een proces op dat ongekend is en dus nog nooit uitgevoerd is op al die andere computers die dezelfde antivirus hebben staan? Dan word de antivirus achterdochtig en zal die preventief actie ondernemen door bepaalde acties niet toe te staan. In de praktijk word een rating berekend, doet een beetje denken aan hoe spamfiltering werkt. Weinig gebruikte software/processen krijgen direct een slechtere score, bepaalde acties of eigenschappen kunnen die score nog verder naar beneden trekken (denk maar het tracht de boot sector aan te passen, het heeft geen gui, het probeert te rommelen met bestanden waar software normaal niets te zoeken heeft, het probeert te rommelen met rechten, etc). Afhankelijk van de score gaat dit van trusted tot restricted tot preventief blocked tot desinfectie van ongekend virus. Afhankelijk of de gebruiker dit toegestaan heeft zal er vanaf een bepaalde rating ook automatisch een sample worden doorgestuurd voor analyse.

Wilt dat zeggen dat je volledig veilig bent? Natuurlijk niet, je bent nooit 100% veilig maar dat wilt niet zeggen dat een antivirus niet meer kan doen dan gewoon heuristic scanning. En er is ook nog een pak meer dat gedaan kan worden om de security verder omhoog te trekken binnen bedrijven, deep packet inspection, honeypots, Applocker en ga maar door.

Wat zijn nu de beste antivirussen? Moet je zelf maar is gaan kijken op https://www.av-comparatives.org/ & https://www.av-test.org/
Naast dat letterlijk alles wat je nu op noemt standaard aanwezig is in OS X wil ik je ook nog even wijzen op dit:
Een goede antivirus kijkt verder dan zijn neus lang is en heeft ook een whitelist van gekende software en processen. Start een proces op dat ongekend is en dus nog nooit uitgevoerd is op al die andere computers
Op macOS worden random processen en onbekende software (die dus niet gesigned is en dus onbekend bij Apple, want geen certificaat) niet opgestart. Zelfs niet als je ze zelf opent en zelfs niet als dit een volledige gesïsoleerde sandboxed app is zonder mogelijke vraag naar root.

Zolang jij hem niet expliciet opent via het context menu kan het gewoonweg niet.

De links die je aandraagt neem ik dan ook met een korrel zout. Nast het feit dat ze mackeeper als serieus alternatief aandragen (wat het absoluut NIET is) komen ze met een 100% detection rate aanzetten terwijl we dankzij dit artikel wel weten dat dit dus sowieso al niet waar is als het aankomt op real life performance.

Daarnaast:
detected more than 99 percent of the more than 5,300 test malware threats
dit zijn vrijwel allemaal windows malware pakketten. Het aantal ingangen op OS X is dusdanig klein dat een test nooit kan bestaan uit een set die deze grootte heeft.
Ik reageer voornamelijk op wat een antivirus meer kan doen dan enkel heuristic scanning. Uiteraard kan het OS ook al een boel voorkomen door alles dicht te timmeren maar dan krijg je een Windows 10 S versie waar je enkel uit de store apps kan downloaden (en dan begint iedereen direct te klagen). Mobiele devices kunnen doorgaans ook enkel via een store apps installeren of je gaat zoals Mac met een certificaat werken. Al die dingen doen hetzelfde, je hebt een goedkeuring nodig om software uit te rollen en door die goedkeuring is er een controle welke foute software tegen kan gaan en dus voor een verhoogde veiligheid zorgt.

Wat betreft de links, uiteraard moeten die met een korrel zout worden genomen, daarom geef ik er ook meteen 2. Als jij nog bronnen hebt hoor ik ze graag maar je moet ergens een maatstaf gaan nemen om je op te baseren.

Wat betreft je opmerking met 100% detection rate, ik neem aan dat je naar de test 2016 Mac zit te kijken op av-comparatives.org? Die geeft inderdaad een 100% detection rate aan tegen over de 50 meest recente samples, er staat niet dat ze 100% detection rate tegen alles hebben.

Wat betreft dat mackeeper als serieus alternatief geadverteerd word, als ik av-test.org nakijk zie ik hem als slechtste van de hoop presteren dus ik weet niet waar je dit juist gelezen hebt. (kan zijn dat het ergens staat, daar niet van)

Dat OS X minder ingangen heeft klopt, het is dan ook een veel meer gesloten systeem. Dat er minder virussen in omgang zijn klopt ook, voor hoe ver dit met minder ingangen te maken heeft of met marktaandeel is moeilijk te zeggen. En dat het voornamelijk om Windows draait lijkt mij bijgevolg ook logisch.
Ik zeg nergens 'Apple computers hebben geen virussen' of wat er ook maar in de buurt komt. Ik denk dat je virusscanners prima kan vervangen door een aantal slimme scripts en tools die je een alert geven bij bepaalde zaken.
Virusscanners zoals de kant-en-klaar producten van de grote jongens; daar heb ik niks mee. Maar wanneer jij je daar wel goed bij voelt: vooral doen.
Maar hoeveel mensen hebben hun firewall van binnen naar buiten toe niet gewoon openstaan voor alles dan? UPnP aanstaan? Dat soort ongein?

Virusscanners zijn één ding maar tegenwoordig minstens even belangrijk zijn goeie firewallregels. Een virusscanner is reactief, een firewall is proactief.
Inderdaad. Daarom laten wij anderen alleen toe op ons gastnetwerk en nooit op het interne netwerk.
En de firewall van het gastnetwerk staat potdicht. Alleen poort 80, 143, 443 en 587 worden toegestaan.
Ja precies. Zou ik op zich ook willen, maar gasten willen ook wel Spotifyen en dat soort ongein. Overigens gebruiken mn kinderen ook het gastennetwerk, ik kan niet 24/7 monitoren wat ze allemaal op hun telefoontjes zetten 😶
Virusscanners voor macOS zijn het m.i. niet waard
Het feit dat deze malware niet ontdekt wordt doet inderdaad vermoeden dat de virusscanners voor de mac gewoon niet goed genoeg zijn om hun geld waard te zijn. En dat is wel een probleem want de malware die ze zouden moeten detecteren is er wel.
Het feit dat deze malware niet ontdekt wordt doet inderdaad vermoeden dat de virusscanners voor de mac gewoon niet goed genoeg zijn om hun geld waard te zijn.
Ehm, lees het artikel nog eens goed:
Volgens Wardle wekt FruitFly de indruk alsof het is geschreven door een persoon om specifieke individuen in de gaten te houden.
Een bijkomstigheid was dat ook 400 andere geïnfecteerde systemen verbinding maakten met zijn server.
Hoe had je precies in gedachte dat een leverancier van anti-virus software een virus gaat detecteren dat zich zo langzaam (of uitsluitend handmatig...!?) verspreid dat het na vijf jaar pas ergens tussen de paar honderd en hooguit een paar duizend systemen geïnfecteerd heeft? Dit lijkt niet op het soort virus dat je tegenkomt op je honey pot en als Mac-gebruikers (om welke reden dan ook) besluiten geen virusscanner te draaien, dan kan heuristic detection ook geen samples terugsturen voor onderzoek. Dus tja, dan houdt het gewoon op, hoe goed bestaande scanners zijn heeft daar weinig mee te maken.
Goed punt!
Dat mag/zal zo zijn, maar dit is m.i wel een indicator voor het failliet van de huidige generatie virusscanners en het (schijn)gevoel van veiligheid wat ze propageren.
Mede daarom vind ik de huidige virusscanners weinig toevoegen voor macOS en zijn ze het - i.e. geld, system resources, etc - niet waard.
Mede daarom vind ik de huidige virusscanners weinig toevoegen voor macOS en zijn ze het - i.e. geld, system resources, etc - niet waard.
Omdat bijna niemand een virusscanner draait op zijn iDing, zijn er geen scanners die verdacht gedrag detecteren, waardoor de onderzoekers geen samples te pakken kunnen krijgen, zodat de scanners lang niet alles vinden, en dat zorgt er dan weer voor (samen met "het is van Apple, dus het kan niet gehacked worden!!!111" :( ) dat bijna niemand een virusscanner draait op iSpul, waarmee de cirkelredenering rond is.

Wat gebeurt eerder: mensen die verstandig worden, of een gigantische zeroday die 99%+ van alle Apple hardware op de planeet een cryptolocker geeft? Het eerste zou het beste zijn, maar ik ben bang dat we op het tweede zullen moeten wachten...
Een zero day, daar is niets tegen opgewassen. Daar helpt een antivirus pakket je ook niet mee!

Gewoon nadenken over wat je online allemaal doet, dat is het beste...
Bij de laatste echt grote virusuitbraak @ macOS waren ook de gebruikers met AV de klos. Uiteraard waren die na enkele uren wel 'beschermd' maar toen de poep echt in de ventilator vloog had je niks aan AV. En Apple was ongeveer even snel met de updates van zijn Gatekeeper/XProtect als de grote AV scanners... Dus wat voegt AV nu netto toe? IMHO too little, too late.
Er zijn 400 systemen blijkbaar vrij willekeurig geinfecteerd. Hoeveel meer moeten het er nog zijn om een virus te kunnen opsporen? Het probleem is natuurlijk dat er van die 400 misschien maar 5 iets van een virusscanner draaien. En op die manier krijgen de virusscanners nooit voldoende data en kwaliteit om goed genoeg te zijn om je geld aan uit te geven. Een klassiek kip/ei probleem.
Dat het voor deze onderzoeker een vrij willekeurige groep lijkt, zegt weinig.. Misschien zijn het precies die mensen en bedrijven die een bepaalde opdrachtgever interessant vindt.

Misschien zijn die 400 met de hand geïnstalleerd, dan helpt er geen virusscanner aan.

Om dit is perspectief te zetten: Er zijn zo'n 100 miljoen Mac-gebruikers. Als het grofweg bij die verhouding blijft, zijn die erg goed af qua malware / virussen risico's.
Spijker --> kop!
Daarom geloof ik meer in een goede FW (bv. Little Snitch) + tools die inzicht geven in je (persistent) processen (KK & BB)! Maar deze 'oplossing' is helaas niet voor iedereen; het vereist een behoorlijke kennis van zaken. Met LS, KK en BB weet ik bijna zeker dat ik deze malware ontdek: Hé, er wil een proces naar buiten toe (LS alert)? Hé, er wil een proces persistent worden (BB alert)? En bij de periodieke controle van KK: Hé wat doet dat bestand/proces daar?

Het is vast geen 100% waterdichte controle maar ik heb het idee dat je met deze tools héél ver komt. En zo niet dan hoor ik dat graag! :)
Maar zijn die verzameling scripts dan niet meer dan een (beperkte) virusscanner ?
In de begindagen van windows deed een antivirus ook niet veel meer dan processen controleren en signaleren.

Uiteindelijk nam het zo'n vlucht dat we er kennelijke 'suite's' voor nodig hebben.
Ik ben nooit voorstander geweest van hele grote logge systemen, maar vooral niet van kleine programmatjes die handig zijn, maar vervolgens volgepropt worden met nog meer 'handig'
ACDsee was zoiets, Photoshop ( was al niet klein, soit ), maar vooral Windows zelf, van 7 diskettes naar 4GB voor Win10
Ik gebruik op ons thuisnetwerk een script via Apple remote desktop waarmee ik naar de beheerde clients een custom hosts file push waardoor reclame en gore niet toegankelijk zijn. Ik wil dit eigenlijk nog een keer op DNS niveau, maar dan moet ik nog eens een script schrijven die dat bestand omzet naar Mac OS server DNS entries
'Niet voor iedereen' is helaas nog zacht uitgedrukt. OK, dan heb je LS aan staan en dan krijg je, vooral bij het installeren van een vers OS en sotware, allerlei meldingen van allerlei processen die 'naar huis willen bellen'. Hoe weet je ooit welke legitiem zijn? Er is vaak ook bar weinig over te vinden, of het is snel achterhaald, dus google-en helpt ook niet.

Voor je het weet heb je iets geblokkeerd waardoor een cloudservice hapert en kom daar later maar eens achter (zelf een keer aan de hand gehad ;().
Ik roep het al vijf jaar en heb al menig -1 moderatie gekregen daardoor.

Anti-virus op een mac is schijnveiligheid!
Er is reeds 10 jaar een virusscanner in de MacOS kernel ingebouwd. Er is echter weinig aan te doen wanneer gebruikers zelf de malware installeren.
Het is onduidelijk wie er achter de zogenaamde FruitFly-malware zit, die al minstens vijf jaar ongedetecteerd actief is.
5 jaar lang op meerdere systemen actief zonder dat mensen het in de gaten hebben. Dat is wel iets waarbij je jezelf achter je oren moet krabbelen. Hoe veel meer van dit soort producten is er op Apple systemen actief.
[...]

5 jaar lang op meerdere systemen actief zonder dat mensen het in de gaten hebben. Dat is wel iets waarbij je jezelf achter je oren moet krabbelen. Hoe veel meer van dit soort producten is er op Apple systemen actief.
Er zijn er niet zo héél veel actief, maar het probleem is een beetje de dé Macgebruiker zich al snel onaantastbaar voelt.
Gezien de vele reacties als er een Windows / Android malware is opgedoken, dat hun MAC / IOS daar hélemaal geen last van zou hebben

Prima stukje marketing van Apple, maar een vals gevoel van veiligheid is geen veiligheid
Nu lees ik al jaren hoe de stereotype 'Mac gebruiker zich al snel onaantastbaar' zou wanen. Mijn probleem is dat ik deze gebruikers amper ooit ben tegengekomen, off- en online. Jazeker zijn er vele naïeve computergebruikers, ongeacht op welk platform, maar het enige dat Mac gebruikers weleens beweren is dat macOS ongevoelig is voor Windows malware. En dat klopt feitelijk ook (behalve wellicht MS Word macros).

Verder stel ik zelf (als oudgediende) dat macOS al vanuit z'n ontwerp tamelijk goed beveiligd is, uitgaande van diens Unix basis, en iedere nieuwe versie van 't OS beveiligt 't systeem verder, zoals Gatekeeper of System Integrity Protection. Dat betekent natuurlijk niet dat 't huidige systeem onkwetsbaar is, maar wel erg gehard en voorzien van de nodige beschermlagen. Apple communiceert deze vorderingen in hun marketing.

Een andersoortig probleem is dat bepaalde gebruikers nonchalant apps uit dubieuze bronnen installeren, ondanks waarschuwingen van macOS, en daarbij hun beheerderswachtwoord argeloos invoeren. Een verder probleem dat niet strikt malware is, zijn diverse 'onderhoud' of 'reparatie' apps om het systeem 'op te ruimen'. Zelfs bonafide antivirus software kan soms meer schade berokkenen dan werkelijk malware opspeuren; meestal wordt hier vooral Windows malware verwijderd om mogelijke besmetting (via bv. email) te voorkomen! Omdat macOS malware meestal wordt opgepikt door Gatekeeper en andere mechanismen, adviseer ik aan particulieren meestal tegen antivirus software voor de Mac! Essentieel zijn gezond verstand en enige computervaardigheid, zoals op ieder willekeurig besturingssysteem.

Apple verwijst inderdaad al jaren in hun marketing naar de relatieve gehardheid en veiligheid van hun besturingssysteem, lang voordat iPhone z'n intrede deed, maar nergens beweerde Apple ooit dat Mac OS X / OS X / macOS onaantastbaar zijn zijn voor virussen c.q. malware. Het tegendeel is eerder waar.
Nu lees ik al jaren hoe de stereotype 'Mac gebruiker zich al snel onaantastbaar' zou wanen. Mijn probleem is dat ik deze gebruikers amper ooit ben tegengekomen, off- en online. Jazeker zijn er vele naïeve computergebruikers, ongeacht op welk platform, maar het enige dat Mac gebruikers weleens beweren is dat macOS ongevoelig is voor Windows malware. En dat klopt feitelijk ook (behalve wellicht MS Word macros).
Deze begrijp ik niet helemaal, aangezien het erg dubbel geschreven is
Maar ik zal proberen mijn opvatting erover te geven.
In werkelijk ELK microsoft topic waar een hint van virus/malware voorkomt duiken ze op.
De MAC gebruikers, de "ik heb dit niet nodig, want MAC"
Als je die niet tegengekomen bent, is dat omdat je de artikelen niet leest, OF selectief onthoudt.

De stelling echter dat macOS gebruikers roepen dat het OS niet vatbaar is voor een windowsvirus ben ik dus niet tegengekomen, omdat dat gewoon een domme uitspraak zou zijn.
Maar lees rustic wat postrs terug, alleen al op tweakers, en ze zijn er werkelijk.
Dan kan je daarna misschien aanvoeren 'ja, maar dat zijn trolls' maar ook dat is een aanname die je niet kan doen, want de 'echte' troll herken je niet, het is alleen iemands versie van de waarheid waar een ander het niet mee eens zou kunnen zijn..

de laatste zin is even zo dubbel, als jouw hele eerste alinea

edit : snelle linkjes ....
monojack in 'nieuws: Google-onderzoek legt kritiek lek in ESET-virusscanners ...

Frietsaus in 'nieuws: Apple wil dat Mac-gebruikers virusscanner installeren'

ikweethetbeter in 'nieuws: Google introduceert VirusTotal Uploader voor OS X'

[Reactie gewijzigd door FreshMaker op 24 juli 2017 19:53]

Jij moet ver terug om je punt te maken!

Bedoel je dit stuk:
Er zijn voldoende AV tooltjes voor de Mac, en ze vinden regelmatig virussen. Echter, wat ze vinden zijn Windows virussen, voor OS X bestaan geen virussen!

Er bestaat wel malware voor de Mac, maar daar moet je zelf moeite voor doen die te installeren. Het komt doorgaans als trojan met illegale software mee.
Feitelijk klopt dat nog steeds. Maar dat betekent niet dat er geen bedreigingen op de Mac bestaan! Die zijn er zeker! Je hebt geen virus nodig om duizenden euro's aan een crimineel over te maken, je moet alleen erg goedgelovig en naïef zijn.
Het ging niet om een punt te maken, hij gaf aan nooit ontkenners gezien te hebben

Interesseert mij niet of er 1 of 100 mal/bad/what you want to call it is, maar ga niet ontkennen dat er een algemeen geloof is in ontkennen van deze software op apple os.
Ik ben het er wel mee eens. Er is nog steeds geen virus voor OS X / macOS, maar er bestaat zeker wel malware voor. En de grootste bedreiging bestaat uit de gebruiker, die in een phishing mail trapt.

Een virusscanner voor de Mac vindt vooral Windows virussen en andere Windows bedreigingen. Daarmee is het een zinloos stuk software dat resources vreet en een vals gevoel van veiligheid geeft.
Als iemand dat al durft te stellen, krijgt hij meteen de geijkte tegenreactie.

Sterker nog, vaak komt iemand al 'preventief' met die tegenreactie, zodra er ook maar iets over macOS gaat. Daar word ik op mijn beurt na 30 jaar hetzelfde verhaal dan weer een beetje flauw van.

Toen de OSX public beta uitkwam, was er geen virus voor en meteen was het commentaar dat dat alleen kwam omdat 'niemand het gebruikte' en het nieuw was.

Nu zijn we 17 jaar en 100 miljoen gebruikers verder en er zijn nauwelijks problemen geweest (laat ik het dan zo uitdrukken…).

Qua malware en virussen loop je gewoon veel minder risico met een Mac, maar o wee als je dat durft te zeggen.
Er zijn er niet zo héél veel actief
Heb je hier een bron van of is dit een aanname die je zelf doet?
Tja, op basis van wat er in het nieuws komt over malware, is dat niet zo veel
Wil je het echt uitgetekend op een flipover met diagrammen en uurstaten ?

Maar alleen op Tweakers komt het niet zo heel vaak voor
https://tweakers.net/zoeken/?keyword=mac%20malware

edit : @Brummetje
Daar is nu juist het probleem wat @Wim-Bart aankaart. Hoeveel meer is er wat we niet weten.
Spring in dat gat, word onderzoeker ....

Niemand kan je een exact aantal geven, behalve op basis van bekende data, wat we in het nieuws opvangen.
Zelfs Tweakers mist regelmatig nieuws over malware, ik begin een gebroken plaat te worden, maar een week terug Ghostctrl gesubmit, artikelen op andere sites, is er hier nog NIETS over gerept

[Reactie gewijzigd door FreshMaker op 24 juli 2017 16:54]

Daar is nu juist het probleem wat @Wim-Bart aankaart. Hoeveel meer is er wat we niet weten.

@FreshMaker Ik hoef geen aantalen ;) Jij doet een aanname die je niet kan waarmaken. Dus kom of met feiten erover of begin er niet over.

[Reactie gewijzigd door Brummetje op 24 juli 2017 19:21]

Je kan niet tellen wat je niet weet, maar draai het eens om: Tel het aantal virussen / uitbraken / malware-gevallen / grootschalige besmettingen etc. van verschillende systemen en deel het per gebruiker.

Ik denk dat we allemaal weten wat de uitslag zal zijn.

Ik ben 100% voor het 'kom met feiten' principe, dat ben ik met je eens, maar je zit er echt naast als je denkt dat macOS net zo gevoelig is als de rest.
Oh nee ik ben er vrij zeker van dat OSX minder vatbaar is. Alhoewel, misschien is "vatbaar" niet het juiste woord. Het aandeel OSX is gewoon een stuk minder dan bijvoorbeeld Windows waardoor Windows een veel grotere target is.

Als dit omgedraaid zou zijn dan was OSX misschien wel het OS met de meeste virussen etc. Echter zullen we dit nooit te weten komen.
Het aandeel OS X is altijd veel kleiner geweest – op dit moment wereldwijd zo'n 11,5% van de online desktop-computers volgens http://gs.statcounter.com/os-market-share/desktop/worldwide – maar voor een hacker en zijn klandizie is er de Mac in sommige opzichten veel interessanter, juist vanwege die sterke reputatie.

Als je een virus kan maken waar OS X geen verweer tegen heeft, maak je in één klap faam als – al dan niet white-hat – hacker. Veiligheidsdiensten en foute overheden en dergelijke zullen in de rij staan want zoiets is er nog niet. Je zou er veel meer geld en 'bad ass credit' mee kunnen verdienen dan met een Windows-virus.

En nee, we kunnen de rollen niet even omdraaien, om het verschil te testen. Toch is er wel een 'bewijsbaar' punt te maken dat de 'OS X is klein dus niet interessant' redenatie niet opgaat: Het macOS van nu is gebaseerd op een *NIX variant maar het 'classic' MacOS van de jaren '80 en '90 was helemaal door Apple zelf geschreven. Ook toen was het marktaandeel klein. Ondanks dat bestonden er diverse virussen voor, dus veel meer dan nu voor macOS. Virusdruk en marktaandeel gaan dus aantoonbaar niet per definitie gelijk op.
Hoe veel meer van dit soort producten is er op Apple systemen actief.
Niemand die het weet. Maar dit soort malware zal er voor ieder OS wel bestaan.
Kortom, hoe simpeler malware van opzet is, des te langer blijft het onopgemerkt.
Kortom, hoe simpeler malware van opzet is, des te langer blijft het onopgemerkt.
Dat is vaak wel een voordeel, en als het doelwit lichtgevende paarse bloemenfoto's is, kan je op 10.000.000 systemen staan, en nooit opgemerkt worden, of actief raken.
Pas als er een variabele verandert ( spontaan netwerkacces naar onbekend adres, of een oplettende gebruiker die zijn muis zag bewegen )is er een houvast om onderzoek te starten.
In dit stuk staan toch wel een paar paradoxale beweringen:
  • De malware is al 5 jaar actief;
  • Het doel is om gebruikers in de gaten te houden, bijvoorbeeld door toetsaanslagen, schermafbeeldingen en video's vast te leggen;
  • Daarnaast kan het ongewone acties uitvoeren als het bewegen van de cursor en het op afstand overnemen van het toetsenbord;
  • Er is weinig bekend over de malware;
  • De malware is niet bijzonder geavanceerd;
  • De malware past niet in de standaardformules van internetcriminelen of overheden;
  • Ten tijde van de ontdekking van de tweede variant werd deze door geen enkele antivirussoftware ontdekt;
  • De onderzoeker meldde zijn bevindingen aan de FBI en Apple was niet beschikbaar voor vragen van Motherboard.
De malware mag dan niet bijzonder geavanceerd zijn, maar is hierdoor wel bijzonder effectief gebleken. Als er geen overheid of (andere) criminelen achter zitten, zou je (gezien de versie 1 vd malware) toch denken aan activisten of bedrijfsspionage.
Hoe dan ook: het blijkt dus nog steeds mogelijk om op heel simpele wijze, de meest vernuftige virusscanners/malwarescanners om de tuin te leiden...
Wat veel schokkender is, ze zijn in staat om op Apple systemen dus dit soort zaken 5 jaar lang onder de pet te houden en nu rest de vraag, als het 5 jaar verborgen gehouden kan worden en dat er zelfs een versie 2 van is, hoe veel ander van dit soort virussen zijn er actief zonder dat iemand het weet.
Dat is mijns inziens dus een kwestie van het feit dat het een redelijk "kleine jongen" is. als er maar 400 besmette systemen zijn op de hele wereld, dan is de kans op detectie natuurlijk bijzonder klein. Als het daarnaast ook geen opvallende dingen DOET (het kan een hoop maar doet mogelijk niet veel als dat niet nodig is), dan valt het nog minder op.
Het is onbekend hoe de systemen worden geinfecteerd, dus weer iets wat niet opvalt. En het lijkt er dus sterk op dat de maker inderdaad handmatig systemen heeft geinfecteerd om een bepaalde reden.
400 besmette systemen welke contact maken via die ene server, dus er is een grote kans dat andere systemen verbonden zijn met 1 van de vele andere servers.
Nouja. Die server was een backup adres dus kennelijk was het hoofddomein al niet beschikbaar.

Daarnaast klinkt dit heel erg als een standaard management pakket van een kleine multinational. Van die tools die kaseya bijvoorbeeld aanbied.
Het probleem van deze malware is het target.
Die is specifiek op biomedische systemen geëigend, niet zo heel veel gebruikers hebben die combinatie ( biomedic + MAC )
Vandaar dat de malware op zich op misschien meer systemen aanwezig is, maar door afwezigheid van variabelen niet actief, dan is het gewoon 'loze code' die niets doet.

Als je dus niet op zoek gaat naar die code, of delen ervan, of je hebt geen aparartuur wat zich 'meld' met de targetkenmerken zal je er geen last van hebben.

Vandaar dat een virus-scanner, of tools en scripts om ze te ondekken ( wat in essentie dus een virusscanner is ) steeds meer noodzakelijk worden, al dan niet op endpoints/netwerktoegangspunten.
In de VS en Canada is het marktaandeel van Macs groter dan in Europa, dus het zou best kunnen dat die specifieke combinatie (biomedisch + Mac) couranter is dan je zo direct zou verwachten.
Er waren al samples van het script terug te vinden in 2013. Iemand heeft het wel degelijk gedetecteerd en opgegeven maar niemand had er aandacht aan.
Hoe komen mensen anno 2017 nog aan malware met al die waarschuwing reclames overal en dat je niks raars moet openen of downloaden. 10-15 jaar geleden kan ik me voorstellen maar nu nog?
Advertenties grotendeels, daar hoef je als gebruiker niets fout voor te doen.
Jawel hoor. Geen adblocker installeren bijvoorbeeld.
Omdat veel Windows gebruikers er heilig van overtuigd zijn dat ze niets kan gebeuren als ze een virus scanner draaien op hun Windows systeem en daarom minder kritisch zijn bij het openen van bestanden.
Er wordt ook zoveel malware geschreven voor Windows dat je niet zonder anti virus software kunt en dan nog kan het fout gaan. Maar dat komt omdat het gros op Windows er de ballen verstand van hebben en daardoor al een risicofactor vormen. ;)
Ja hoor, gaat gewoon door...

Zojuist een bericht van vriendin haar ouders hebben net alle gevens ingevuld van de bank. Bleek achteraf dus een phising mail (uhm).
inderdaad, na 100'en keren waarschuwen dat documenten vooraf gechecked moeten worden, gaat men gewoon door met hun oude patroon

Ik heb bij een bevriend bedrijf een half netwerk in quarantaine staan omdat hun typgeiten ( ja, in dit geval ECHT ) soms zelfs in staat zijn hun persoonlijke mail te gebruiken om zakelijk te antwoorden.
( gmail ipv @bedrijfsnaam )
Half jaar geleden de boel op tijd kunnen isoleren, en een hele dag bezig geweest met voorlichting.
Na anderhalve week was het weer raak, het werkstation gelocked, en de malware stond al aan de deur van de firewall te kloppen :|

Zelfs officiële waarschuwingen van één persoon kan de boel niet redden.
Nog steeds betaalinfo.doc.exe die geopend wordt, en omdat het niet werkt op de pc ernaast NOG een keer ..
zcuht
Dat is deels door de standaard instelling in windows tegenwoordig dat bekende bestandsextensies niet worden weergegeven. Ik zet dat standaard uit zodat je gewoon ziet waar je op klikt.

Is wel zo duidelijk voor mijn ouders bv. Ze weten dat ze geen rare dingen moeten klikken, maar als je informatie verbergt en alleen op een icoontje en de beschrijving erachter af moet gaan.. ze kijken toch eerst naar de bestandsnaam. Als die er raar uitziet krijg ik een whatsapp.
Maar weten ze ook dat behalve .exe (om maar een random voorbeeld te noemen) .scr óók verdacht is? En iets wat eruit ziet als (bijvoorbeeld) .pdf net zo goed. Want de bestandsnaam is eigenlijk fdp.ofnilaateb.scr, maar met een right-to-left marker wordt dat opeens rcs.betaalinfo.pdf (en een executable mag zijn eigen icoontje definiëren, dus dat wordt natuurlijk het standaard PDF-icoontje).

Ik geloof meteen dat er mensen zijn die in hele stomme trucjes trappen, maar het is zeker mogelijk om het echt heel geniepig te doen, zodat nagenoeg iedereen zou denken "dit kan ik veilig openen".
Grootste fout, aannames op basis van een samenvatting.
Daardoor denken dat ze het beter kunnen, zonder te weten hoe het hele proces werkt, en waarom
Dat gebeurd ja. En als je een mail van de ING krijgt terwijl je daar géén klant bent is het voor de hand liggend, maar als je een -voor de verandering foutloos geschreven- nette mail krijgt van een bank waar je wél een account hebt, kan t gebeuren dat je de sjaak bent.

Ik kreeg vorige week een mail van T-Mobile met een factuur die nog open stond. En laat ik nou toevallig een maand of 2 geleden een abo opgezegd hebben waarbij de afhandeling niet 100% goed ging.

Viel me wel op dat het logo niet goed schaald in het mailtje stond. Veel smaller dan echte mail van ze. Maar de omstandigheden maakten het dat ik wel even 3x moest kijken hoe t nou zat..

[Reactie gewijzigd door DigitalExcorcist op 24 juli 2017 17:15]

Omdat veel mac gebruikers er nog altijd heilig van overtuigd zijn dat ze niets kan gebeuren omdat ze een mac hebben en dus geen antivirussoftware draaien en minder oplettend zijn bij het openen van risicovolle bestanden.
Er zit gewoon een malware scanner in OSX genaamd X-protect. Dat kan ook een reden vormen.
Precies een medetweaker hier die een systeembeheerder zou ontslaan als ir av software op een Mac zou willen installeren. Is hier gezegd. Dat gebruikers zijn vaak de bron van dit soort problemen.
Ik zie in het artikel geen verwijzing naar een mogelijke scan of fix voor de malware? Hoe kan ik weten of mijn mac hier besmet mee is?
Fruitfly, qua benaming is het iig wel top.
Wie graag wat meer wil weten over de werking van FruitFly, lees dan de onderstaande link:

http://www.zdnet.com/arti...st-undetectable-backdoor/
Niet netjes natuurlijk, maar een paar honderd besmette computers vallen in het niet bij het grootste legale virus ooit ontwikkeld: Facebook.
Als mr. Krems gelijk krijgt zal't niet lang meer duren met Facebook. Hij heeft een 2e procedure gestart. En uiteraard mr. Pit heeft u gelijk - al die sociale media zijn vermomde malware - maar dan net legaal genoeg om het zo niet te mogen noemen - maar sociale software heeft een doel - de eigenaars van dat bedrijf stikrijk te maken op de gebruiker z'n kap.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*