MacDownloader
De MacDownloader-malware is een zeer schadelijke en krachtige bedreiging die veel schade kan aanrichten als het erin slaagt een systeem succesvol te compromitteren. De MacDownloader-dreiging richt zich op systemen met OSX van Apple, zoals de naam al aangeeft. Het lijkt erop dat de auteurs van de MacDownloader-malware deze verspreiden door deze dreiging te verhullen als een Adobe Flash Player-update. Deze nogal high-end bedreiging is waarschijnlijk de oprichting van een Iraanse APT (Advanced Persistent Threat). Deze APT heeft de neiging vooral achter high-profile doelen aan te gaan, dus reguliere gebruikers zullen waarschijnlijk niet worden getroffen door de MacDownloader-malware. Volgens rapporten is de MacDownloader-malware tot nu toe gebruikt tegen Amerikaanse defensiecontractanten zoals Lockheed Martin, Raytheon en Boeing.
Hoe de MacDownloader Threat werkt
De auteurs van de MacDownloader-malware lijken de dreiging via spam-e-mailcampagnes te verspreiden. Het doel van de e-mail is om het doel ervan te overtuigen om een website te bezoeken die gratis trainingsprogramma's en cursussen aanbiedt die zijn afgestemd op de beoogde persoon. Als de doelen echter proberen inhoud te bekijken die op de neppagina wordt gehost, vraagt de website hen om een update van de Adobe Flash Player-toepassing te downloaden en te installeren. Dit is een veel voorkomende truc die malware-auteurs gebruiken om hun creaties te verspreiden. Als het doelwit voor deze truc valt en de nep-update van Adobe Flash Player installeert, zal de MacDownloader-bedreiging een frauduleuze voortgangsbalk voor installatie tonen en vervolgens een melding weergeven, die beweert dat er adware aanwezig is op het systeem van de gebruiker. Dit zou zeker een rode vlag moeten werpen, aangezien de Adobe Flash Player niet bedoeld is om modules te hebben die iets te maken hebben met cybersecurity. De nepwaarschuwing stelt ook dat de adware die zogenaamd werd gedetecteerd, van het systeem zal worden verwijderd. Vervolgens zal de MacDownloader-malware de gebruikers vragen hun inloggegevens in te voeren als ze willen beginnen met het verwijderingsproces van adware. Legitieme anti-malwaretools zullen u niet vragen om uw gebruikersnaam en wachtwoord in te vullen, en dergelijke vreemde verzoeken moeten absoluut door gebruikers worden gezien als een rode vlag. De MacDownloader-bedreiging krijgt geen persistentie op de gecompromitteerde host, wat betekent dat zodra de gebruiker deze sluit, de bedreiging niet meer wordt uitgevoerd. Zolang de doelen hun inloggegevens niet hebben ingevuld voordat ze de toepassing sluiten, zouden er geen problemen moeten zijn. Als de gebruiker de MacDownloader-malware echter zijn gebruikersnaam en wachtwoord heeft verstrekt, zal de dreiging ervoor zorgen dat de gegevens worden opgeslagen in een bestand met de naam 'applist.txt', dat wordt overgebracht naar de C&C (Command & Control) -server van de aanvallers.
Zoals we al zeiden, wint de MacDownloader-dreiging niet aan persistentie, maar dit is niet zo omdat de makers hebben geprobeerd de onveilige applicatie persistentie te geven. Er zijn echter verschillende bugs in de MacDownloader-malwarecode die verhinderen dat deze met succes de geïnfiltreerde machine bereikt. Momenteel is de C&C server van de MacDownloader-bedreiging offline. Dit betekent dat de dreiging momenteel geen schade kan aanrichten. De MacDownloader-malware heeft echter een groot potentieel om veel schade aan zijn doelen te veroorzaken en kan binnenkort worden bijgewerkt en verder worden bewapend.
