Er is in China nieuwe malware voor de Mac ontdekt die iets doet wat we nog niet eerder gezien hebben. Want deze malware, die de bijnaam Wirelurker heeft meegekregen, infecteert niet alleen je Mac, maar is ook in staat om daarna een iDevice dat via USB aan je Mac hangt binnen te komen. Dat is iets wat we nog niet eerder gezien hebben, tot nu toe was alle malware voor iOS gericht op iDevices met een jailbreak.

Het gaat hierbij om 467 geïnfecteerde programma's die allemaal te vinden waren in de Chinese Maiyadi App Store voor OS X. De geïnfecteerde applicaties zouden trouwens al 356.000 keer naar binnen zijn gehaald. Voor de volledigheid: dit heeft natuurlijk helemaal niets te maken met Apple's eigen Mac App Store, alle programma's daarin zijn veilig.

Wirelurker werd ontdekt door onderzoekers van Palo Alto Networks en hun bevindingen zijn hier te lezen.

Apple heeft inmiddels al gereageerd op deze ontdekking en het bestaan van deze malware, en die reactie, in The Wall Street Journal, kan je hier vinden. En hieronder kan je hem ook lezen:

We are aware of malicious software available from a download site aimed at users in China, and we’ve blocked the identified apps to prevent them from launching.

Met andere woorden, als je op jouw in Syteemvoorkeuren > Beveiliging en privacy bij "Sta programma's toe die zijn gedownload bij:" voor de eerste of de tweede instelling hebt gekozen (Mac App Store of Mac App Store en ontwikkelaars waarvan de identiteit bekend is) dan heb je niets te vrezen.

Wil je er zeker van zijn dat je in de afgelopen tijd geen programma's op je Mac hebt gekregen die deze Wirelurker malware in zich hebben verstopt dan kan je dat controleren met WireLurker Detector. Dat programma komt van de mensen die Wirelurker hebben ontdekt, en is dan ook te vertrouwen. Wil je alle details over Wirelurker te weten komen, dan moet je op deze pagina van Jonathan Zdziarski zijn.

Verder gaan we ervan uit dat Apple de komende tijd meer aandacht gaat besteden aan het beveiligen van dit soort achterdeuren, en we nemen aan dat dit een hoop alarmbellen in Cupertino heeft doen afgaan.


met dank aan forumlid 'Alvinus', die dit nieuws eerder op ons forum meldde

Bedankt, ik ben schoon!

Last login: Thu Nov  6 09:35:36 on ttys000
WAFs-Mac-mini-10:~  curl -O https://raw.githubusercontent.com/PaloAltoNetworks-BD/WireLurkerDetector/master/WireLurkerDetectorOSX.py
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100  5128  100  5128    0     0  25089      0 --:--:-- --:--:-- --:--:-- 25137
WAFs-Mac-mini-10:~ $ python WireLurkerDetectorOSX.py
WireLurker Detector (version 1.1.0)
Copyright (c) 2014, Palo Alto Networks, Inc.

• Scanning for known malicious files ...
  [-] Nothing is found.
  
• Scanning for known suspicious files ...
  [-] Nothing is found.
  
• Scanning for infected applications ... (may take minutes)
  [-] Nothing is found.
  
• Your OS X system isn't infected by the WireLurker. Thank you!
  WAFs-Mac-mini-10:
  No matching processes belonging to you were found
  WAFs-Mac-mini-10:

Ik heb jailbreaks gebruikt om legale dingen te doen die normaal niet mogelijk zijn, zoals het installeren van WhatsApp op een iPod touch en het installeren van Infuse op een Apple TV. Ik blijf ver verwijderd van Chinese app stores!

De meeste apps zijn gratis, en andere apps zijn niet duur. Mensen die apps van €1,79 illegaal installeren snap ik niet. Het is geen bedrag waarvoor je krom moet liggen, en je moet veel meer moeite doen om een app illegaal op je iDevice te krijgen dan illegaal.

Onze iPads en iPhones zijn niet gejailbreakt: totaal niet nodig. Er staat voor enkele euro's aan apps op, en de apparaten werken probleemloos.

Ik heb geen glazen bol, ik kan dus geen uitspraken doen over de toekomst, maar tot nu toe is het nog steeds zo dat malware op een Apple apparaat je eigen schuld is. Je hebt "iets fouts" of "iets illegaals" gedaan.

Alle stemmingmakerij van Fandroids en andere Apple haters ten spijt: "we" zijn nog steeds virusvrij!

Vannacht om 04:24 uur bij mij Xprotect update binnengekomen die deze Malware blokkeert.

Command-shift-G
/System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/
XProtect.meta.plist
XProtect.plist

MacFrankie om 14:20, 07-11-2014
Alle stemmingmakerij van Fandroids en andere Apple haters ten spijt: "we" zijn nog steeds virusvrij!

Als er Fandroids zijn die zich hier over opwinden dan is het misschien tijd dat ze zich realiseren hoe ontzettend veel van dit soort malware er voor Android is.

Het is misschien ook een idee om nog een link in het nieuwsbericht te plaatsen naar het topic waaraan onderaan het nieuwsbericht gerefereerd wordt zodat men makkelijk kan terugvinden wat er eerder al over het onderwerp gemeld is. Omdat topics een slotje krijgen verdwijnen ze uit de lijst op de voorpagina en daarmee (voor de meeste bezoekers) uit het zicht.

In dit geval ging het om dit topic: http://www.macfreak.nl/forums/topic/18/6290/grote-en-akelige-malware-voor-de-mac/

Robert om 17:07, 07-11-2014

Citaat

MacFrankie om 14:20, 07-11-2014
Alle stemmingmakerij van Fandroids en andere Apple haters ten spijt: "we" zijn nog steeds virusvrij!

Als er Fandroids zijn die zich hier over opwinden dan is het misschien tijd dat ze zich realiseren hoe ontzettend veel van dit soort malware er voor Android is.

Maar volgens MacFrankie krijg je dat alleen op je devices wanneer je  "iets fouts" of "iets illegaals" hebt gedaan. En dat hangt niet af van het platform  

Je krijgt alleen maar malware op een iDevice als je "iets fouts" of "iets illegaals" hebt gedaan, devman!

Om malware op een Android telefoon of tablet te krijgen hoef je veel minder moeite te doen. Dat gaat bijna vanzelf als je de browser gebruikt, en zelfs via de Play Store van Google ben je niet 100% zeker dat je geen malware meekrijgt...

...omdat die nog steeds SSL3 ondersteunt    

Masque Attack: http://www.fireeye.com/blog/technical/cyber-exploits/2014/11/masque-attack-all-your-ios-apps-belong-to-us.html

Oftewel, Wirelurker is nog niet uitgelurkt. http://www.nu.nl/gadgets/3925410/wirelurker-malware-gevolg-van-veel-groter-lek-in-ios--.html