Het Deense beveiligingsbedrijf CSIS meldt dat zij afgelopen weekend een doe-het-zelf-kit voor Mac OS X malware heeft ontdekt. De softwarekit werd aangetroffen op enkele underground fora. De makers van de software proberen onder de radar te blijven door alleen ervaren leden van deze internetfora details te geven over de malwaremaker.

Gegevens uit Firefox stelen

De software wordt de Weyland-Yutani Bot genoemd en is te koop voor 1.000 dollar (ongeveer 675 euro). Net als bij vergelijkbare doe-het-zelf kits voor computers met Windows bestaat Weyland-Yutani uit een tool om het virus en een administratiepaneel te bouwen. De malwarekit ondersteunt bovendien encryptie.

De allereerste malwarekit voor Mac OS X heeft de mogelijkheid om gegevens die ingevoerd worden in de browser Firefox te stelen. In een toekomstige versie wordt het ook mogelijk om gegevens uit formulieren te stelen die in Safari en Chrome worden ingevuld. Ook zijn de makers van de software volgens CSIS bezig met een versie voor Linux en iOS.

Velden toevoegen aan formulier

De Weyland-Yutani Bot gebruikt injectietemplates die gelijk zijn aan de templates van bekende Windows-virussen ZeuS en SpyEye. Daardoor is de malwarekit te vergelijken met de Windows-malware, die vooral wordt ingezet om bankgegevens te stelen.

Met de injectietemplates voegt het virus velden toe aan een verder legitiem formulier, waarmee de gebruiker bijvoorbeeld wordt gevraagd om een burgerservicenummer of creditcardgegevens. Deze gegevens worden vervolgens teruggestuurd naar de beheerder van de malware.

Peter Kruse van CSIS vindt de vondst van de malwarekit verontrustend. “Omdat Mac OS voorheen tot op zekere hoogte niet geraakt werd door de toenemende hoeveelheid malware die Windows-systemen al jaren achtervolgt”.

Het Deense beveiligingsbedrijf publiceerde een video die demonstreert hoe de kit werkt.

Scareware ontdekt

De vondst werd op dezelfde dag gemeld als een andere vorm van malware die gericht is op gebruikers van Mac OS X. Beveiliger Intego meldde gisteren dat een nep-virusscanner zich verspreidt via een combinatie van Google en Javascript.

Via zoekmachineoptimalisatie lokken de malwaremakers gebruikers naar de website van de valse MACDefender. Eenmaal op de website wordt deze beveiligingssoftware automatisch geïnstalleerd met behulp van JavaScript. De gebruiker moet overigens wel eerst het administratorwachtwoord ingeven voordat de software wordt geïnstalleerd.