Safari-gebruikers gewaarschuwd voor automatisch uitpakken zip-bestanden

[Captain Kirk]

Safari-gebruikers op macOS zijn gewaarschuwd voor een optie in de browser die ervoor zorgt dat zip-bestanden automatisch worden uitgepakt, aangezien aanvallers hier misbruik van maken. Eerder deze week verscheen al het bericht dat Mac-gebruikers in het Midden-Oosten het doelwit van gerichte aanvallen zijn geweest.

De aanvallers stuurden doelwitten een spearphishingmail die een link naar een kwaadaardige website bevat. Zodra het doelwit deze website bezoekt wordt er een download van een zip-bestand geactiveerd, dat de malware bevat. Safari zal het zip-bestand automatisch uitpakken en zo de malware op het systeem van de gebruiker plaatsen. Alleen het feit dat dit kwaadaardige bestand op het systeem van de gebruiker is geplaatst is voldoende om het een eigen "url-scheme" te laten registreren.

Via een url-scheme kan een applicatie aangeven dat als de gebruiker een bepaalde url opent, de betreffende applicatie hiervoor verantwoordelijk is. Bekende url-schemes zijn http:// en ftp://. Applicaties kunnen echter ook een eigen url-scheme registreren. In het geval van de nu waargenomen aanvallen registreert macOS het url-scheme van de malware. Vervolgens zal de kwaadaardige website dit url-scheme aanroepen om de malware op het systeem van de gebruiker uit te voeren.

Dit veroorzaakt wel een waarschuwing in Safari, maar de aanvaller heeft volledige controle over deze melding. Wanneer de gebruiker de website toestaat om de malware te starten verschijnt er een waarschuwing van File Quarantine dat er een bestand dat van het internet afkomstig is wordt geopend. Als de gebruiker ook deze waarschuwing negeert wordt de malware geïnstalleerd. De malware is van een geldig ontwikkelaarscertificaat voorzien, waardoor Apples GateKeeper dit in de standaardconfiguratie gewoon toestaat.

 

 

bron: security.nl