Onderzoekers van Bitdefender hebben weer een nieuwe malware voor de Mac ontdekt. Het gaat daarbij om een zogenaamd programma dat je kan downloaden met de naam "EasyDoc Converter".

Zogenaamd, want als je dit 'programma' opent dan krijg je een venstertje te zien, maar dat doet helemaal niets. Tenminste, het converteert geen documenten, maar in de achtergrond gebeuren er stiekem wel heel erg veel dingen waar we beslist niet op zitten te wachten.



De malware die in EasyDoc Converter 'verpakt' zit is door de onderzoekers van Bitdefender trouwens "Backdoor.MAC.Eleanor" gedoopt.

Als je EasyDoc Converter zou openen dat wordt er in de achtergrond door deze malware software naar binnen gehaald, die het daarna mogelijk maakt om van alles op en met jouw Mac te doen. In dit geval bijvoorbeeld de controle over je FaceTime camera over te nemen, bestanden naar binnen te halen, commando's uitvoeren (inclusief scripts) en de controle over je Mac op afstand over te nemen.

Het goede nieuws is dat als je in Systeemvoorkeuren > Beveiliging en privacy Apple's eigen Gatekeeper hebt aanstaan, dat je dan goed beschermd bent. Want als je daar hebt ingesteld dat je alleen software uit de Mac App Store wilt, dan zal je dit niet eens naar binnen kunnen halen. Ook als jij de de tweede optie daar op jouw Mac hebt gekozen, dan zal deze malware helemaal niet te installeren zijn. Want dat kan alleen als de ontwikkelaar bij Apple bekend is, en dat is bij deze malware niet het geval.



Alleen als je de derde instelling hebt gekozen dan moet je hierbij dus even extra opletten. Maar als je daarvoor gekozen hebt, dan ben je ook door Apple daarvoor gewaarschuwd. Want voordat je optie nummer drie kiest, krijg je altijd eerst de waarschuwing van Apple hieronder te zien.



EasyDoc Converter stond trouwens onder andere op de populaire site MacUpdate, daar is het inmiddels verwijderd. Het zou prettig zijn als zo'n site zelf zou checken of er malware in apps zit, maar zover zijn we kennelijk nog niet.

EasyDoc Converter heeft niet in de Mac App Store gestaan, het is niet bekend of de makers wel geprobeerd hebben om het daar in te krijgen en dat Apple het geweigerd heeft, of dat de makers het sowieso daar niet eens geprobeerd hebben.

Als je wel optie nummer drie in Systeemvoorkeuren > Beveiliging en privacy hebt aanstaan, dan is het altijd aan te raden om je verstand goed te gebruiken bij alle software die je naar binnen haalt, en dubieuze sites daarbij te vermijden. Heb jij optie drie aanstaan dan is het waarschijnlijk een goed idee om jezelf extra te beschermen. Dat kan onder andere met Little Snitch (waarmee je kan zien welke software verbindingen probeert te maken, en met welke locaties dat is) of met het gratis BlockBlock (maar dat is nog in beta).



met dank aan forumlid 'MacMiep', die als eerste dit nieuws meldde



Update: kort na de ontdekking van deze malware werd er nog een onprettige gevonden, deze kreeg de bijnaam OSX/Keydnap en is speciaal bedoeld om de wachtwoorden uit je Sleutelhanger te stelen.

Ook hier geldt hetzelfde als bij Backdoor.MAC.Eleanor, als jouw instellingen in Systeemvoorkeuren > Beveiliging en privacy goed staan, en deze software komt via een browser binnen dan zal die automatisch geweigerd worden. Het maakt duidelijk dat Apple's aanpak met Gatekeeper kennelijk een goede is, en dat die ook steeds belangrijker wordt.

En malwarebytes is ondertussen alweer bijgewerkt:
https://www.malwarebytes.com/antimalware/mac/

De link in het bericht van Pieterr werkt niet, hier is de gode link:

https://blog.malwarebytes.com/cybercrime/2016/07/new-mac-backdoor-malware-eleanor/

Interessante link, bedankt.

Wat ook goed om weten is, als ik goed lees, is dat BackdoorMACEleanor er nog niet aan begint zich te installeren als ie merkt dat je Little snitch op je Macje hebt staan!

Iets meer info over de TOR affiliatie in dit artikel:

http://www.macrumors.com/2016/07/06/backdoor-mac-eleanor-faq/

 

Er is een update bij dit nieuwsbericht gezet.

MAW als je zo dom bent dat je dus Gatekeeper heb uitgeschakeld , geen netwerk controle hebt en je installeert willekeurige programma's waarvan je niet weet of ze veilig zijn en je geeft de mac toestemming om als hoofdgebruiker dit te installeren met het wachtwoord wat dan nodig is. Dan pas installeer je dus zelf die malware. Als je dus minimaal optie 2 hebt gebruikt en je kijkt uit met wat je download voor je klakkeloos iets installeer dan is de kans zeer klein dat je iets overkomt  

Als je wel eens iets van open source software installeert, moet je 't wel afzetten. Audacity, Open Office, VLC...

En niet iedereen denkt er aan om dat nadien terug aan te zetten.

Trouwens, er is al een malware geweest mét een Apple handtekening, dus zo waterdicht is dat nu ook weer niet. Er blind op vertrouwen is dus misschien ook niet zo slim.

En Little Snitch is leuk, maar zonder netwerk kennis ben je daar als modale gebruiker ook niks mee. Ik zie regelmatig mensen op "sta toe" klikken en als je dan vraagt waarom ze dat doen, is 't antwoord vaak "ik weet het niet, ik doe dat altijd".

Zo'n acht maanden niet op Macfreak geweest. Niets veranderd hier nog steeds van die zielige trolletjes.

Offtopic: ik vind dat velen hier op MF al zeer snel "troll" roepen...

In dit interessante topic, bijvoorbeeld, zou ik niet weten waar een troll te zoeken.

@ HEXDIY: +1

Als je denkt dat iemand een trol is, dan moet je juist niet reageren (don't feed the troll, remember???).

Degenen die zielig zijn, zijn de georganiseerde criminelen en terroristen. Je bent nergens veilig, niet op een pc, niet op een Mac, niet in het Midden Oosten, maar ook niet in Frankrijk. En dus waarschijnlijk ook niet in Nederland.

Terug naar de Mac, de post van cyrano. Met zijn opmerkingen over niet-getekende OSS en getekende malware heeft hij een punt. En tools die waarschuwingen geven die je niet snapt, zodat je altijd alles accepteert, zijn ook zinloos. Dat is een goede bijdrage in dit draadje.