MacOS malware niet opgemerkt door automatische controle systeem Apple

Gepubliceerd op 1 september 2020 om 21:48
MacOS malware niet opgemerkt door automatische controle systeem Apple

Het is niet zo lang geleden dat Apple op hun website zei:

"[Macs] krijgen geen pc-virussen. Een Mac is niet vatbaar voor de duizenden virussen die Windows-computers teisteren. Dat is te danken aan de ingebouwde verdedigingsmechanismen in Mac OS X die je beschermen zonder dat je daar iets voor hoeft te doen" -Apple.com

Dat Apple computers doorgaans veiliger zijn dan hun Windows tegenhangers is wel een feit. Dat wil echter niet zeggen dat ze immuun zijn voor malware.

App Store

We vertrouwen op Apple omdat de apps in de App Store goed gecontroleerd zijn. Desondanks heeft Apple onlangs per ongeluk een app met één van de meest voorkomende malware-bedreigingen goedgekeurd. Hierdoor kon de app gewoon gebruikt worden binnen de recente versies van macOS. De fout kwam gelukkig snel boven water en werd direct verholpen.

"Bedreigingen voor macOS-gebruikers" (Kaspersky)

Gatekeeper

Hoewel Mac-apps die buiten de App Store zijn gedownload, niet hetzelfde beoordelingsproces doorlopen, vereist Apple wel dat ze 'genotariseerd' zijn. Dat houdt in dat de app gecontroleerd is op onder andere malware. Pas nadat een app is goedgekeurd, krijgt deze  het groene licht van 'macOS Gatekeeper', dan pas kun je de app veilig openen.

Onderzoekers Peter Dantini en Patrick Wardle hebben adware voor macOS ontdekt die niet is opgemerkt door de automatische controle van Apple en werd goedgekeurd. Alle software voor macOS 10.15 (Catalina) en nieuwer die van een Developer ID is voorzien moet een "notarizing" proces ondergaan. Via een geautomatiseerd systeem controleert Apple de software op kwaadaardige content en andere zaken. Dit moet gebruikers meer zekerheid over de software geven.

Het 'notarizing' proces van Apple

Wanneer er geen problemen zijn aangetroffen genereert het systeem een ticket, dat de ontwikkelaar aan zijn software kan toevoegen. Wanneer een gebruiker vervolgens voor de eerste keer de software opent, weet Gatekeeper dat Apple de software heeft gecontroleerd. Gatekeeper is de beveiligingsfunctie die ervoor moet zorgen dat er alleen betrouwbare software op het systeem wordt uitgevoerd.

Update Adobe Flash Player

Vorige week werd erop het domein homebrew.sh, een kopie van de legitieme website brew.sh, een adwarecampagne ontdekt die gebruikers doorstuurde naar een malafide website. Deze website liet gebruikers geloven dat ze een update voor Adobe Flash Player moesten installeren. In werkelijkheid ging het om een variant van de bekende Shlayer-adware.

Nep Flash Player update

Normaliter blokkeert macOS niet-gecontroleerde apps. Dat was met de zogenaamde Flash-update niet het geval. De adware was door de controle van Apple gekomen. Beveiligingsonderzoeker Patrick Wardle waarschuwde Apple, waarna de certificaten en notarization van de app werden ingetrokken. Daardoor wordt de adware nu op macOS-systemen geblokkeerd.

Adware

'Shlayer' is een soort adware dat gecodeerd webverkeer onderschept – zelfs van HTTPS-sites – en vervangt websites en zoekresultaten door eigen advertenties, waardoor frauduleus advertentiegeld wordt verdiend.

Volgens Wardle is dit de eerste keer dat dit soort malware ten onrechte door Apple werd goedgekeurd tijdens het notarisatieproces en dat van invloed is op de recente macOS-versies, zelfs op de Big Sur-bèta. Dit betekent dat Apple de kwaadaardige code niet heeft gedetecteerd toen de app werd ingediend en goedgekeurd voor gebruik op Macs.

Direct opgelost door Apple

Nadat Dantini en Wardle de malware op 28 augustus hadden ontdekt en aan Apple hadden doorgegeven, loste Apple het probleem direct op. Hoewel de beveiligingsbedreiging van deze adware relatief laag is, is het natuurlijk nog steeds iets dat Apple koste wat het kost wil voorkomen.

In een verklaring vertelde een woordvoerder van Apple aan TechCrunch: “Kwaadaardige software verandert voortdurend, en het notarisatie-systeem van Apple helpt ons malware van de Mac te weren en stelt ons in staat om snel te reageren wanneer het wordt ontdekt. Toen we van deze adware hoorden, hebben we de geïdentificeerde variant ingetrokken, het ontwikkelaarsaccount uitgeschakeld en de bijbehorende certificaten ingetrokken. We bedanken de onderzoekers voor hun hulp bij het beschermen van onze gebruikers. ”

Vreemd genoeg dook er afgelopen zondag (30 augustus) een ‘nieuwe’ versie op die wederom of nog steeds besmet was met adware, ondanks dat deze was voorzien van notarisatie. Zowel de oude als de “nieuwe” payload (s) lijken bijna identiek te zijn en bevatten OSX.Shlayer, samen met Bundlore adware. Het is opmerkelijk dat de aanvallers hun aanval gewoon kunnen voortzetten (weliswaar met andere genotariseerde payloads). Het zal altijd wel een kat-en-muis spel blijven…

Apple Approved Malware
PDF – 5,6 MB 493 downloads

Bron: objective-see.com, onemorething.nl, security.nl, apple.com