Na jarenlang virussen onder Windows-pc's te hebben verspreid, infecteren kwaadaardige Microsoft Word-documenten nu Macs.
De bestanden bevatten een macro die stil op de achtergrond wordt uitgevoerd en een applicatie downloadt die webcams kan controleren, wachtwoorden kan stelen, browsergeschiedenis kan lezen en meer.
Macro-malware richt zich al meer dan tien jaar op pc-gebruikers. Hoewel het aantal aanvallen is gedaald, is er de laatste jaren een heropleving van kwaadaardige macro's, vooral vanwege het feit dat ze zo effectief zijn.
Dat komt omdat de malware zo lang onopgemerkt blijft. Wanneer begraven in een Word-macro - een schijnbaar legitiem stukje software - de kwaadaardige code laat geen alarmbellen rinkelen totdat een virus succesvol is geïnstalleerd en de schade is verholpen gedaan.
Mac-malware in opkomst
Mac-gebruikers hoefden zich hier in het verleden nooit zorgen over te maken, maar dat is niet langer het geval. Beveiligingsonderzoekers hebben nu het eerste Mac-virus ontdekt dat voortkomt uit een kwaadaardige macro die in een Word-document is begraven, zo meldt Ars Technica.
Het document is getiteld "U.S. Bondgenoten en rivalen verteren de overwinning van Trump - Carnegie Endowment for internationale vrede.” Wanneer geopend in Word dat is geconfigureerd om macro's automatisch toe te staan, wordt uitgevoerd zijn aanval.
Eerst controleert de software of de LittleSnith-beveiligingsfirewall niet actief is. Vervolgens downloadt het een versleutelde lading van securitychecking.org en decodeert het met een hardgecodeerde sleutel. Ten slotte wordt de payload uitgevoerd en is het virus actief.
De payload wordt niet meer bediend, dus onderzoekers konden niet precies bepalen wat het deed. Het open-source framework waarop het is gebaseerd, heeft echter een aantal mogelijkheden, zoals de mogelijkheid om webcams te controleren, versleutelde sleutels uit Keychain te halen en meer.
Er wordt gedacht dat deze specifieke malware niet erg geavanceerd was, maar Word-macro's hebben in het verleden bloedbad kunnen veroorzaken. Iets meer dan een jaar geleden was een kwaadaardige macro verantwoordelijk voor een virus dat 225.000 Oekraïense huizen zonder elektriciteit.
“Door macro's in Word-documenten te gebruiken, maken ze gebruik van de zwakste schakel; mensen!” schreef Patrick Wardle, onderzoeksdirecteur bij Synack, die: stuitte voor het eerst op de Mac-malware. “En bovendien omdat macro’s ‘legitieme’ functionaliteit zijn (vs. bijvoorbeeld een kwetsbaarheid voor geheugencorruptie) hoeft de infectievector van de malware zich geen zorgen te maken over het crashen van het systeem of dat het wordt ‘gepatcht’.”
Mac-malware heeft nog een lange weg te gaan voordat het zo mainstream is als Windows-aanvallen, maar naarmate het platform van Apple steeds populairder wordt, lijdt het geen twijfel dat het zijn achterstand inhaalt.