Betalen we de prijs voor de stijgende populariteit van OS X? Deze week zijn er maar liefst twee nieuwe malware-varianten voor de Mac opgedoken. Het gaat om Backdoor MAC Eleanor, ontdekt door Bitdefender en OSX/Keydnap, ontdekt door ESET.

De eerste malware-variant geeft kwaadwillenden veel controle over je Mac, terwijl de andere malware de inhoud van sleutelhangertoegang met wachtwoorden probeert buit te maken.

Frankenstein-creatie De Backdoor.MAC.Eleanor is vermomd als downloadbare EasyDoc Converter die allerlei documenten kan converteren. De Mac-app doet echter iets anders en installeert malware die kwaadwillenden op afstand toegang geeft tot alle bestanden op je Mac, de webcam aan- en uit kan zetten en het scherm op kan nemen. Je Mac kan op de achtergrond volledig over worden genomen.

De malware is een vreemde mix van componenten die op zichzelf niet schadelijk zijn, maar wel verkeerd gebruikt kunnen worden. Zo wordt op de achtergrond een TOR-service geïnstalleerd die je Mac voor de kwaadwillenden bereikbaar maakt. De malware zelf bestaat uit een aantal PHP-scripts die samen met een webserver als administrator op het systeem draaien. Om beelden van de webcam en het scherm vast te leggen, wordt een open source-tool gebruikt. Een creatief brouwsel.

Keychain stelen Malware nummer twee is OSX/Keydnap.A en vermomd als .jpg-plaatje, maar installeert bij het uitvoeren kwaadaardige software die de inhoud van je (iCloud)-sleutelhangertoegang buitmaakt. Dat wil zeggen dat alle wachtwoorden en andere info zoals beveiligde notities en creditcardnummers die je in je sleutelhanger hebt opgeslagen ook doorgestuurd worden.

Niet alle software heeft zomaar toegang tot de inhoud van je sleutelhanger, je moet eerst toestemming geven. De malware vraagt die toestemming ook en doet zich voor als ‘icloudsyncd’ om gebruikers te verwarren. Na het invoeren van je wachtwoord heeft de malware administrator-rechten en kan deze zijn gang gaan. Er wordt overigens geen nieuw lek of bug gebruikt om de keychain uit te lezen, de malware gebruikt een vier jaar oude open source tool genaamd keychaindump en heeft die samen met uploadscripts verpakt.

OS X blokkeert deze malware standaard Al deze malware wordt door OS X standaard geblokkeerd omdat deze niet uit de Mac App Store komt en de identiteit van de ontwikkelaar niet bij Apple bekend is (geen certificaat). Gebruikers moeten actief de beveiliging uitzetten om de malware toe te laten en in het laatste geval ook nog een administrator-password invoeren. Wat verder opvalt is dat er weinig moeite in de malware is gestopt. Vaak zijn het open source-pakketten die aan elkaar gelijmd zijn. Over het algemeen is Windows-malware een stuk geavanceerder.