Terminal-emulator iTerm & Co: vervalste apps brengen Mac-malware met zich mee


Een grotere malwarecampagne lijkt gericht te zijn op Mac-ontwikkelaars: veelgebruikte tools zoals de terminalemulaties iTerm 2 en SecureCRT, NaviCat 15, SnailSVN en de macOS-versie van de externe desktopclient van Microsoft worden gerapporteerd als gerepliceerde versies met “vergiftigde installatieprogramma’s” en als “geïnfecteerde schijfkopieën”, waarschuwen beveiligingsonderzoekers.

Het doelwit zijn momenteel blijkbaar voornamelijk Chinese ontwikkelaars: een nepversie van de macOS-terminalemulator iTerm2 werd tijdelijk als eerste hit op de zoekmachine Baidu afgeleverd in de vorm van een gesponsorde link. De URL leidde blijkbaar naar een replica van de originele website, die op zijn beurt de gemanipuleerde versie van iTerm aanbood om te downloaden.

De kloon is grotendeels “goedaardig” en vertoont een “legitieme iTerm-shell” om gebruikers in slaap te wiegen, legt beveiligingsonderzoeker Patrick Wardle uit, die de app analyseerde – en biedt een voorbeeld van de malware genaamd “OSX.ZuRu” om te testen. Antivirus-engines hebben tijdens de analyse nog geen actie ondernomen op de monsters.

De malware die in de app is verborgen, maakt contact met verschillende servers en laadt software opnieuw. Volgens de analyse probeert hij onder meer met behulp van een Python-script de geïnfecteerde Mac uitgebreid te inspecteren. Hiervoor worden zoveel mogelijk data verzameld en geëxtraheerd, inclusief de sleutelhanger van de gebruiker met alle daar opgeslagen toegangsgegevens, de bash-geschiedenis, hosts en meer, schrijft Wardle.


Meer van Mac & i

Meer van Mac & i


Meer van Mac & i

Meer van Mac & i


De zoekmachine Baidu heeft inmiddels de gesponsorde links verwijderd. Apple heeft ook het ontwikkelaarscertificaat ingetrokken waarmee de nepversie van iTerm2 was ondertekend. Wardle merkt op dat de malware niet notarieel is vastgelegd. Het blijft onduidelijk of de andere genoemde nep-Mac-tools ook zijn ondertekend. Beveiligingsonderzoeker Zhi merkt op dat het een enorme supply chain-aanval is op macOS-gebruikers.


(lbe)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: