Het afgelopen weekend kon je  hier op MacFreak nog lezen dat er voor macOS verreweg de minste malware in omloop is. Maar daarbij kwam ook de waarschuwing dat het hierbij eigenlijk niet om kwantiteit gaat, één ‘goed’ geschreven malware op je Mac en je kan helemaal de klos zijn.

Een erg ‘goede’ illustratie daarvan is Atomic macOS Stealer (AMOS). Deze malware werd door Cyble Research gevonden op Telegram en blijkt speciaal ontworpen om zoveel mogelijk gevoelige informatie te stelen, waaronder wachtwoorden. Nu is deze malware al in staat om het wachtwoord van je Mac te achterhalen, wachtwoorden uit de Sleutelhanger buit te maken en bestanden van de desktop en de documenten-folder te kopiëren.



Het enige positieve aan dit alles is dat je eerst zelf een .dmg bestand moet dubbelklikken en het moet installeren, waarbij je zelf het wachtwoord voor je Mac weggeeft. Als je geen software van dubieuze plaatsen downloadt en je verstand altijd gebruikt dan loop je dus weinig risico.

Doe je dat niet, gebruik je een andere browser dan Safari, bijvoorbeeld Firefox of Chrome, en laat je die wachtwoorden en/of informatie van credit cards bewaren, dan kan dat ook door Atomic macOS Stealer worden buitgemaakt. In de afbeelding hieronder zie je een heleboel dingen waartoe Atomic macOS Stealer in staat is.




Update: inmiddels wordt deze malware ook verspreid via Google Ads, een label dat veel mensen vertrouwen geeft, waardoor ze er makkelijker intuinen. Dat vertrouwen is dus niet terecht, ook kwaadwillenden kunnen Google betalen voor het plaatsen van advertenties op dat platform.



#macOS #Malware

Ik download niet van obscure sites en ben voorzichtig met mails. Ik gebruik MalwareBytes. Onderschept die deze malware?

Er is een update bij dit nieuwsbericht gezet.

Nu is deze malware al in staat om het wachtwoord van je Mac te achterhalen, door wachtwoorden uit de Sleutelhanger buit te maken en bestanden van de desktop en de documenten-folder te kopiëren.

Hoe kan dit? Het wachtwoord van de mac kan ik niet terugvinden in de sleutelhanger.

Ik denk dat het woordje 'door' in dit citaat er niet moet staan. (De hashes van de account login wachtwoorden staan op een andere plaats.)

De malware kan je bijv. bij installatie van wat een legitieme Tor browser lijkt om je login wachtwoord vragen (m.b.v. een stukje AppleScript), zogezegd om de systeemvoorkeuren te configureren. Het wachtwoord wordt gevraagd tot het geverifieerd is. Dan stopt de installatie, zogezegd wegens een fout. Ondertussen steelt de malware wat het kan.

Heb bij deze het woordje ‘door’ in het nieuwsbericht verwijderd, want dat was kennelijk verwarrend (en heb het in het citaat hierboven doorgehaald).

Ik download niet van obscure sites en ben voorzichtig met mails. Ik gebruik MalwareBytes. Onderschept die deze malware?

Ja, maar mits bescherming in real time. Malwarebytes Premium dus.