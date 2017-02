Een macrovirus richt zich, zo schrijft beveiligingsonderzoeker Patrick Wardle, op de zwakste schakel in de beveiliging: de eindgebruiker. Gebruikers die macro's van documenten op eigen houtje activeren, staan zo toe dat er malafide code wordt uitgevoerd. De laatste jaren zien we een kleine comeback van het macrovirus, vrijwel alleen op Windows-systemen.

Linux, Mac, Windows

Maar daar komt nu ook Mac bij, zo blijkt uit een nieuw stukje malware dat onlangs opdook. Het macrovirus is simpel opgezet en heel lomp, maar is desondanks een opvallende nieuwe speler. Omdat bedrijven tegenwoordig een diverser ecosysteem aan OS'en hebben dan vroeger toen het vrijwel alleen Windows was, is het logisch dat aanvallers zich op een diverser aanbod aan platforms richten.

De code is rechtstreeks overgenomen van een project op GitHub dat losjes is gebaseerd op PowerShell Empire. EmPyre is geschreven in Python en richt zich in tegenstelling tot de PS-pentestkit op Linux en macOS. De geactiveerde macro voert de code uit en spreekt een Russisch domein aan om meer instructies te downloaden.

Backdoor plaatsen

Omdat het domein offline is gehaald, weten de onderzoekers niet zeker wat het einddoel van de malware was, maar het zou gaan om een tweede EmPyre-module die voor blijvende toegang zorgt. Aanvallers kunnen vervolgens allerlei Mac-troep op de computer afvuren, zoals keyloggers en RAT's die voor het besturingssysteem zijn geschreven. Als het goed is, detecteren beveiligingsapplicaties op macOS deze poging tot het installeren van de backdoor.