Beveiligingsonderzoekers hebben ontdekt dat er een nieuw stuk van Mac-malware; echter, sommige van zijn doel en volledige functies zal een mysterie blijven voor een beetje langer.
De naam Asfalt (OSX/Asfalt), deze nieuwe malware werd verspreid onder macOS gebruikers via een online malvertising (kwaadaardige advertenties) campagnes.
Deze kwaadaardige advertenties liep malafide code in een Mac-gebruiker de browser omleiden van de slachtoffer sites tonen van pop-ups leuren software-updates — meestal voor Adobe Flash Player.
De slachtoffers die vielen voor deze truc en downloaden van de Flash Player update zou het installeren van een malware-duo op hun systemen — eerste de OSX/Shlayer malware, en dan OSX/Asfalt, gelanceerd door de eerste.
Verspreid sinds januari 2019
Dit malvertising campagne verspreiden van de Shlayer+Asfalt combo begonnen in januari van dit jaar, volgens Taha Karim, een security-onderzoeker bij Confiant.
Confiant een rapport gepubliceerd over de januari 2019 malvertising campagne op het moment, echter, dat ze alleen zag de Shlayer malware, maar niet op het Tarmac.
Maar in een follow-up rapport publiceerde twee weken geleden, Confiant dieper uitgegraven in de-nog steeds voortdurende — malvertising campagne en de lading.
Dit is hoe Karim gevonden Asfalt, als een tweede fase van de lading voor de eerste Shlayer infectie. Echter, het Asfalt versies van de onderzoeker geïdentificeerd waren relatief oud, en de malware de originele command en control-servers had afgesloten, — of waarschijnlijk verplaatst naar een nieuwe locatie. Dit bemoeilijkt de analyse, zoals Karim was niet in staat om te verkrijgen van een volledig inzicht in hoe Asfalt gebruikt.
Dat wordt bekend op dit moment is dat na Shlayer downloadt en installeert op het Tarmac op geïnfecteerde hosts, Asfalt verzamelt informatie over een slachtoffer van de hardware setup, en stuurt deze informatie naar de command and control server.
Op dit punt, Asfalt zou wachten voor nieuwe opdrachten. Maar sinds deze servers niet beschikbaar zijn, Karim was niet in staat om te bepalen van de volledige reikwijdte achter Asfalt.
In theorie, de meeste tweede-fase malware stammen zijn meestal zeer krachtige malware stammen, bezitten veel opdringerige functies. Asfalt, moet, althans in theorie, een zeer gevaarlijke bedreiging.
Echter, voor het moment, het mysterie blijft.
Asfalt gedistribueerd naar ONS, italiaanse en Japanse gebruikers
Maar terwijl het Asfalt van de volledige set van functies moeten nog worden ontdekt, weten we wel een aantal gegevens over wie hebben gekregen besmet.
In een interview vandaag, Karim vertelde ZDNet dat de malvertising campagne die verspreid de Shlayer en Asfalt combo werd geo-gericht op gebruikers in de VS, Italië en Japan.
Terwijl de VS en Japan zijn de reguliere doelstellingen voor malvertising en malware campagnes, Italië is een beetje een vreemde keuze.
“We denken dat actoren ga door trial en error, en ze zou hebben gevonden een ‘sweet spot’ in Italië, tussen de winst die ze kunnen oogsten en het niveau van de aandacht van de security-gemeenschap”, zegt Karim vertelde ZDNet.
Sinds Asfalt payloads komen ondertekend door legitieme Apple developer certificaten, functies als Gatekeeper en XProtect zal niet stoppen met de installatie of eventuele fouten.
Gebruikers en bedrijven die op zoek om te zien of ze hebben gehad Mac-systemen besmet met deze malware kan vinden indicatoren van het compromis (IoCs) in Karim Asfalt rapport.
Veiligheid
DNS-over-HTTPS veroorzaakt meer problemen dan het oplost, zeggen de experts
FBI waarschuwt voor aanvallen die bypass multi-factor authenticatie (MFA)
White-hat hackers Muhstik ransomware bende en releases decryptie sleutels
Mark Zuckerberg denkt dat hij het dus verkeerd begrepen (ZDNet YouTube)
Beste home security 2019: Professionele monitoring en DIY (CNET)
De meeste Fortune 500-bedrijven nog steeds ondoorzichtig over veiligheidsmaatregelen (TechRepublic)
Verwante Onderwerpen:
Apple
Beveiliging TV
Data Management
CXO
Datacenters