Onderzoekers van het digitaal beveiligingsbedrijf Sixgill zijn een Mac Trojan tegengekomen die op Russische - besloten - forums te koop aangeboden wordt. Als het klopt wat de verkopers beweren, dan zou het om een serieuze bedreiging kunnen gaan.

Want volgens de mensen van Sixgill gaat het hier om een in Objective-C geschreven remote access trojan (RAT), die met digitale handtekening verkocht zou worden. Met andere woorden, geen gekopieerd broddelwerk, en lastig voor Apple om te onderscheppen, want Gatekeeper zou deze Trojan in eerste instantie dus niet tegen kunnen houden. Als wat de aanbieders schrijven inderdaad klopt, want dat is in deze wereld ook niet altijd het geval.

Als ze inderdaad zo'n digitale handtekening hebben, dan kan dat omdat deze ontwikkelaars bij Apple door het screenings-proces zijn heen gekomen, of dat het om een gestolen handtekening gaat. De naam van deze Trojan is "Proton".

The real threat behind the software is this: The malware is shipped with genuine Apple code-signing signatures. This means the author of Proton RAT somehow got through the rigorous filtration process Apple places on MAC OS developers of third-party software, and obtained genuine certifications for his program.

Sixgill evaluates that the malware developer has managed to falsify registration to the Apple Developer ID Program or used stolen developer credentials for the purpose.

Sixgill also believes that gaining root privileges on MAC OS is only possible by employing a previously unpatched 0-day vulnerability, which is suspected to be in possession of the author.

Proton’s users then perform the necessary action of masquerading the malicious app as a genuine one, including a custom icon and name. The victim is then tricked into downloading and installing Proton.

Meer details zijn te vinden op deze pagina van Sixgill.

Het is natuurlijk te hopen dat Apple in staat zal zijn om dit te neutraliseren, als dat in eerste instantie niet lukt dan zou dat voor het eerst kunnen zijn dat er een Trojan is die een reële bedreiging voor macOS gebruikers vormt. Maar voorlopig gaan we er van uit dat Apple dit weet te onderscheppen, dat is tot nu toe altijd gelukt.

In de tussentijd lijkt het zaak om extra voorzichtig te zijn bij wie je wat naar binnen haalt, en hopen we dat een gewaarschuwd mens voor twee geldt. En als er meer over deze Trojan bekend wordt, dan is dat natuurlijk snel op MacFreak te lezen.

Ik ben blij te lezen dat Jonathan Zdziarski bij Apple gaat werken.

They're going to need all the help they can get.