OS X is een van de veiligste besturingssystemen ter wereld, er zijn maar heel weinig soorten malware ontwikkeld voor het besturingssysteem van Apple. Toch verschijnt er zo nu en dan een nieuwe malware die Mac-bezitters bedreigt en vandaag heb ik het over een nieuwe versie van een malware genaamd Imuler. Deze nieuwe dreiging het is verborgen in bestanden die in eerste instantie eenvoudige afbeeldingen lijken, maar in werkelijkheid geïnfecteerde bestanden zijn die nogal wat problemen kunnen veroorzaken. De malware is verborgen in archieven die onder de namen zijn gepubliceerd Afbeeldingen en het artikel van Renzin Dorjee.zip si FHM februari Covermeisje Irina Shayk H-Res Pics.zip en de infectiemethode is gebaseerd op het feit dat OS X geen bestandsextensies of miniaturen voor afbeeldingen weergeeft, zodat de gebruiker deze opent om ze te bekijken.
De malware installeert een achterdeur in /tmp/.mdworker, samen met andere bestanden in deze map. Een proces met de naam .mdworker wordt vervolgens gestart; het mdworker-proces (niet de afwezigheid van de . vóór de naam) is een proces dat door Spotlight wordt gebruikt om bestanden te indexeren. Een launchagent-bestand is ook geïnstalleerd op ~/library/LaunchAgents/checkvir.plist, samen met een uitvoerbaar bestand in dezelfde map, ervoor te zorgen dat de malware wordt gestart wanneer de gebruiker inlogt op zijn of haar Mac, of deze opstart. Na een herstart wordt het .mdworker-proces verwijderd en wordt het uitvoerbare bestand checkvir gestart. Deze malware zoekt naar gebruikersgegevens en probeert deze naar een server te uploaden. Het maakt ook schermafbeeldingen en stuurt deze naar de server. Er wordt een unieke identificatie voor de specifieke Mac aangemaakt, zodat de Mac en de gegevens die deze verzamelt kunnen worden gekoppeld. We hebben gezien dat deze malware actief is, omdat deze verbinding maakt met een externe server en nieuwe uitvoerbare bestanden downloadt.
Na toegang opent de malware een proces genaamd .mdworker, in Mac en open bij het opnieuw opstarten een eerder gekopieerd bestand ~/bibliotheek/LaunchAgents/checkvir.plist. Als u met deze malware bent geïnfecteerd, wordt de verzamelde informatie van het volledige besturingssysteem plus schermafbeeldingen van het Mac-scherm van uw Mac naar de servers van de hackers verzonden, zodat hackers zonder veel moeite alles kunnen achterhalen wat u doet. Om uzelf te beschermen, zorgt u ervoor dat u de optie voor het weergeven van bestandsextensies hebt geactiveerd in Finder>Voorkeuren>Toon alle bestandsnaamextensies.
