geplaatst door: Robert
https://www.macfreak.nl/modules/news/images/Spyware-icoon.jpg
GravityRAT spyware niet meer alleen op Windows, Macs ook doelwit
De GravityRAT spyware is al een tijd actief onder Windows (RAT staat voor Remote Access Trojans). Met andere woorden, dit is spyware die zich voordoet als een legitieme app, terwijl degene die daar controle over heeft op afstand toegang kan krijgen tot de computer waar deze spyware op staat.

GravityRAT staat extra slecht bekend, deze spyware werd bijvoorbeeld ook gebruikt om succesvol militaire doelen aan te vallen. En inmiddels blijkt het niet meer exclusief voor Windows, het wordt inmiddels ook gebruikt voor zowel Android als macOS. Heb je eenmaal een door GravityRAT geïnfecteerd programma op je Mac staan, dan kan er uitgebreid mee-gegluurd worden.

https://www.bleepstatic.com/content/hl-images/2020/10/19/RAT.jpg
GravityRAT spyware niet meer alleen op Windows, Macs ook doelwit


Met GravityRAT kan het volgende op afstand gedaan worden:

Citaat
  • Informatie over het systeem verkrijgen
  • Zoek op de computer en externe schijven naar bestanden met de extensies .doc, .docx, .ppt, .pptx, .xls, .xlsx, .pdf, .odt, .odp,en .ods
  • Deze bestanden kunnen naar de server van de kwaadwillen worden gekopieerd
  • Er kan worden opgevraagd welke programma’s actief zijn
  • Toetsenbord-aanslagen kunnen worden vastgelegd
  • Het is mogelijk om schermafbeeldingen te maken
  • Het is mogelijk om shell commands uit te voeren
  • Poorten kunnen gescand worden.
En dat is nog niet alles, GravityRAT heeft ook de mogelijkheid om audio op te nemen, alleen is dat nog niet in de versie die nu gesignaleerd wordt geïmplementeerd. Een onderzoeker van Kaspersky zei er het volgende over:

Citaat
Overall, more than 10 versions of GravityRAT were found, being distributed under the guise of legitimate applications, such as secure file sharing applications that would help protect users’ devices from encrypting Trojans, or media players.

Used together, these modules enabled the group to tap into Windows OS, macOS, and Android.
Omdat het niet bekend is om welke geïnfecteerde apps het gaat, en dat ook steeds andere kunnen zijn, lijkt er op dit moment weinig tegen te doen. Wil je zo min mogelijk risico nemen, dan is alleen apps uit de Mac App Store gebruiken waarschijnlijk je beste optie.

Gebruik je wel apps van ontwikkelaars buiten de Mac App Store, dan loop je het minste risico zolang je die haalt van bekende bronnen. In het citaat hierboven kan je lezen dat op dit moment onder andere media players gebruikt worden om deze ellende te verspreiden, terwijl je naast het vertrouwde ((https://www.videolan.org VLC)) volgens mij helemaal niets anders op je Mac nodig hebt.



 #Malware



Klik hier voor informatie over het onder de aandacht brengen van producten of diensten op MacFreak.
geplaatst door: janbergstra
Ik neem aan dat de firewall van Little Snitch je waarschuwt als er iemand een poging doet iets van je HD te halen via GravityRAT? Of ben ik nu te optimistisch?
geplaatst door: Robert
@macqintosh: ik snap het gevoel, en heb dat zelf ook wel eens. Maar de specialisten op dit vlak zitten toch ook vaak bij de bedrijven die de ellende bestrijden (en daar ook aan verdienen).

@janbergstra: heb daar nog niet achter kunnen komen, als ik het weet meld ik het hier.
Klik hier voor informatie over het onder de aandacht brengen van producten of diensten op MacFreak.
geplaatst door: jaco123
Ik neem aan dat de firewall van Little Snitch je waarschuwt als er iemand een poging doet iets van je HD te halen via GravityRAT? Of ben ik nu te optimistisch?

Dat is erg optimistisch. Een firewall beschermt alleen in- en uitgaande netwerkverbindingen.
Als je software op je computer hebt staan, dan kan die software onbeperkt op je HD snuffelen, zonder dat de firewall daar iets van merkt.

De firewall kan pas weer iets doen als de software verbinding zoekt met zijn "baasje" ergens aan de andere kant van de wereld.
Ik ben niet bekend met GraviyRat en in welke apps het zich verstopt is ook nog niet bekend, maar lijkt me dat ze hun best doen dit te vermommen als legitiem netwerkverkeer. Dikke kans dat het voor jou logisch is dat het programma dat je gebruikt verbinding zoekt met een internet-server (wellicht met een of andere logische naam als "updateserver_xxxx_app" waarbij xxxx de naam is van het programma waar GraviyRat zich in genesteld heeft).

Advies blijft dus: Gewoon zelf blijven nadenken !
geplaatst door: Timotheus
Zeker heel goed dat hier aandacht aan wordt besteed; dat houdt iedereen wakker.

Maar de vraag blijft altijd hoeveel van die rommel zijn weg vindt via illegaal verkregen kopieën van programma's. Begin je daaraan, dan zet je natuurlijk de deur open voor van alles en nog wat.
I went there and came back / It was nothing special / The river at high tide / The mountain veiled by misty rain
geplaatst door: Heintje
Ik denk dat je alles in de juiste context moet blijven zien: een (permanente) antivirusscanner is op het Apple platform nog altijd niet "nodig" en periodiek eentje over de hele harddisk/SSD heen halen (ter bescherming van Windows-gebruikers waarmee je structureel contact hebt) en een keertje Malwarebytes draaien in combinatie met alles updaten, backups maken, alleen downloaden uit veilige bronnen en voorzichtig klik-gedrag geeft momenteel nog genoeg veiligheid.

Wat mij persoonlijk meer zorgen baart, is dat het hele criminele gebeuren steeds professioneler wordt. Ik heb het dan over "berichten van je bank waarin je wat behoort te ondernemen" en "aanmaningen": het vergt op dit moment soms echt onderzoek om er achter te komen wat nep is en wat niet.
geplaatst door: peterdh
Behalve dat dat ook niet meer opgaat
Op zich niet, banken en andere officiële instanties sturen geen mail, nooit niet (reclame uitgezonderd), dus onderzoek is niet nodig, gewoon altijd meteen weggooien. Bij "problemen" met deze instellingen zullen ze je altijd per post verwittigen.

https://opgelicht.avrotros.nl/alerts/artikel/phishing-namens-ing-maar-dan-per-echte-brief/
Fit & Firm Massage, Groet, Peter
geplaatst door: peterdh
dat snap ik wel, maar het ging me om deze zin:

Bij "problemen" met deze instellingen zullen ze je altijd per post verwittigen.

en ik vrees dat er nog genoeg mensen (niet persé naïef) niet op google maps adressen gaan checken, slecht zijn in Nederlands etc.
Bewerkt: 30 oktober 2020 - 12:25 door peterdh
Fit & Firm Massage, Groet, Peter
geplaatst door: Timotheus
Misschien kunnen de risico's ook enigszins worden gereduceerd door het hele online-gebeuren wat in te krimpen, en een beetje overzichtelijker te maken.

Ik bedoel dit: ieder van ons heeft honderd of meer programma's op zijn HD staan, heeft rekeningen bij drie of meer kredietinstellingen, enzovoort. Misschien helpt het, om hier eens met het snoeimes doorheen te gaan; want wat je niet hebt, levert ook geen risico op en hoef je  niet in de gaten te houden.
I went there and came back / It was nothing special / The river at high tide / The mountain veiled by misty rain
geplaatst door: Heintje
De discussie hier na mijn laatste post bewijst eigenlijk mijn probleemstelling.
Daarnaast dwingen steeds meer instellingen je tot (alleen) online communicatie.
En deze steeds "beter" wordende pogingen komen niet alleen van banken af, maar ook "van andere instanties" (niet dus) in de vorm van probleemstellingen, betalingsherinneringen enz.
En het zit eraan te komen dat ze ook telefonisch navragen afvangen, zéker als je afgaat op de in de mail / brief genoemde contactmogelijkheden.
Ik zeg niet dat ik er in trap of dat ik geen onderzoek doe, ik signaleer alleen dat het tijdperk dat je erom kon lachen, achter ons ligt.
geplaatst door: Timotheus
Eergisteren werd ik opgebeld, uit een ver land (dat merk je aan de tijd die verstrijkt tussen het moment dat je opneemt en en het moment dat de verbinding tot stand komt). Ik kreeg een dame aan de lijn, en die zei me, met een duidelijk niet-native accent: "I'm from Microsoft, I'm calling about your computer, OK?" Alsof Microsoft zich om mijn computer zou bekommeren. Eens in de een à twee maanden krijg ik zo iemand aan de lijn, altijd uit een ver land; ik zie het als een vorm van folklore, die hoort bij deze tijd. Net als de mails die mij berichten dat een rijke Afrikaan mij bij zijn dood 6.000.000 dollar heeft nagelaten, en verzoeken contact op te nemen omdat men wil weten op welke rekening het bedrag gestort moet worden.

En wat al dan niet bedrieglijk echte nepmail betreft: die ontvang ik ook, helaas, maar alleen op mijn werkmail (overheidsinstantie). Op mijn privémail (Apple Mail - xs4all  - SpamSieve) bijna nooit wat. De filters van de provider zijn belangrijk, en bij ene provider gaat het afvangen van nepmail ongetwijfeld beter dan bij de andere.

Verder ben ik zeer tevreden over SpamSieve. Ik gebruik het al jaren, en met zeer goede resulaten.
I went there and came back / It was nothing special / The river at high tide / The mountain veiled by misty rain
geplaatst door: bacon
Timotheus,
Jouw beide ervaringen heb ik al diverse keren gehad. Komt vaak voor. Die Microsoft-dame belt vanuit India. Soms speel ik het spel mee, door haar de "goede bedoelingen" eerst uitgebreid te laten vertellen. Aan het eind van die zegening vraag ik  droog naar haar familie-omstandigheden. Of ze getrouwd is en kinderen heeft."Oh yes sir. I have two children!" Ik: "Do they know that their mother is a criminal?" Het blijft een tijdje stil. Dan hang ik op.
Zo heb ik jaren geleden de zgn broer van de bisschop van Burkina Faso een week lang aan het lijntje gehouden. Hij had mij uitverkoren om hem te helpen om € 2000000 te stallen op een Zwitserse bankrekening, zijn erfenis van zijn overleden broer/bisschop. In zijn grote dankbaarheid informeerde hij in iedere mail "are your children and your beloved wife ok? May god bless them all!", Zo ging die mailwisseling een week door, inclusief zijn beamende en begripsvole reactie op mijn opmerking "Ah, your country is the land of the bonobo monkeys! They fuck the whole day, isn't it? How nice"! Zo ging hij een hele week met mij mee. Alles beamend en steeds gelardeerd met veel "may god bless your beloved family" gedoe. Daarbij alles voorlopig van mij voor lief nemend, de illusie koesterend en wachtend op het grote moment, in deze sfeer van vertrouwen, zijn definitieve slag later te kunnen slaan. Zo ver liet ik het niet komen. De laatste mail aan hem was in zeer grote letters FY. Nooit meer iets van mijn vriend, de broer van de bisschop van Bukino Faso gehoord!

"De wereld gaat aan vlijt ten onder" 1956 (!!) Boektitel Max Dendermonde
geplaatst door: Timotheus
Misschien maar niet te hard oordelen over de mensen die dit soort telefoontjes (moeten) plegen. Ze handelen waarschijnlijk in opdracht van iemand anders, en krijgen pas wat als er ergens een vis aan de haak blijft hangen. Lijkt me zeer ondankbaar werk.
I went there and came back / It was nothing special / The river at high tide / The mountain veiled by misty rain