MacSpy káros szoftver – MaaS


2017. június 14. 11:24

CH azonosító

CH-14093

Angol cím

MacSpy malware - MaaS

Felfedezés dátuma

2017.06.13.

Súlyosság

Alacsony

Érintett rendszerek

Apple
Mac OS X

Érintett verziók

Apple Mac OS X

Összefoglaló

A közelmúltban került napvilágra a MacSpy nevű malware, amelyet írói MaaS – Malware as a Service – szolgáltatásként kínálnak ingyenes és fizetõs kiadásban egyaránt.

Leírás

Az OS X platform egyik elsõ MaaS szolgáltatása érhetõ el az Interneten. A klasszikus malware-tõl eltérõen ez nem fertõz, mûködését tekintve a keyloggerekhez áll közelebb. Az ingyenes verzió a telepítést követõen az alábbi funkciókat kínálja:

  • eltünteti a böngészési nyomokat, minden forgalom TOR hálózaton történik;
  • 30 másodpercenként screenshot-ot készít, többképernyõs támogatással;
  • a billentyûleütés figyelésére keyloggert tartalmaz;
  • a felhasználó iPhone eszközén lévõ fényképeket is megszerzi, amint az leszinkronizálja magát az iCloud-dal;
  • alacsony RAM/CPU használattal láthatatlan a felhasználó számára;
  • kikapcsolt mikrofon esetén is képes hangot rögzíteni;
  • a vágólap tartalmát is figyeli;
  • Safari és Chrome böngészõk használata esetén a szoftver tanul a böngészési elõzményekbõl és a letöltött adatokból.

Bizonyos bitcoin-ért cserébe a teljes verzió is telepíthetõ, mely esetben a malware többek között hozzáfér az emailekhez, közösségi oldalak bejelentkezési adataihoz, továbbá bármilyen – a Mac-en lévõ – fájlhoz.

A malware 4 fájlt tartalmaz:

  • Mach-O 64-bit executable called ‘updated’
  • Mach-O 64-bit executable called ‘webkitproxy’
  • Mach-O 64-bit dynamically linked shared library called ‘libevent-2.0.5.dylib’
  • Config file

A program képes érzékelni, ha debug környezetben, illetve virtuális gépen fut.

A fertõzés detektálására hálózati IDS használata a legjobb megoldás, ahol szabályok segítségével kimutatható a Mac fertõzöttsége. Emellett egyre több vírusirtó adatbázisába kerül be a minta, az alábbi hash értékek lekérdezhetõek:

  • 6c03e4a9bcb9afaedb7451a33c214ae4
  • c72de549a1e72cfff928e8d2591d7e97
  • cc07ab42070922b760b6bf9f894d0290
  • 27056cabd185e939195d1aaa2aa1030f
  • f38977a34b1f6d8592fa17fafdb76c59

Megoldás

Ne telepítsen nem meg bízható forrásból programokat, csak az Apple Store-ból!

Támadás típusa

Information disclosure (Információ/adat szivárgás)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.securityweek.com
Egyéb referencia: securityintelligence.com

Legfrissebb sérülékenységek
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
CVE-2021-41277 – Metabase GeoJSON API Local File Inclusion Sebezhetőség
CVE-2024-9465 – Palo Alto Networks Expedition SQL Injection sérülékenysége
CVE-2024-9463 – Palo Alto Networks Expedition OS Command Injection sérülékenység
CVE-2024-10914 – D-Link DNS-320, DNS-320LW, DNS-325, DNS-340L NAS termékek sérülékenysége
CVE-2024-49019 – Active Directory Certificate Services jogosultsági szint emelését lehetővé tévő sérülékenysége
CVE-2024-49040 – Microsoft Exchange Server Spoofing sebezhetősége
CVE-2024-43451 – NTLM Hash Sebezhetőség
CVE-2024-49039 – Windows Task Scheduler jogosultsági szint emelésre kihasználható sérülékenysége
CVE-2024-20418 – Cisco Unified Industrial Wireless Software for Cisco Ultra-Reliable Wireless Backhaul (URWB) Access Pointok sérülékenysége
Tovább a sérülékenységekhez »