OS X-gebruikers houden ervan om Windows-gebruikers voor de gek te houden als de enigen die een malwareprobleem hebben. Maar dat is gewoon niet meer waar, en het probleem is de afgelopen maanden dramatisch toegenomen. Doe met ons mee terwijl we de waarheid onthullen over wat er werkelijk aan de hand is, en hopelijk mensen waarschuwen voor de naderende ondergang.
Omdat het eigenlijk Unix onder de motorkap is, heeft OS X enige native bescherming tegen de ergste soorten virussen. Maar het probleem is tegenwoordig niet dat virussen uw computer volledig kapot maken, maar spyware, crapware en adware die op uw computer sluipt, uw browser kaapt, advertenties invoegt en bijhoudt waar u naar kijkt. En veel ervan is legaal, omdat je tijdens een installatieprogramma misleid wordt om op het verkeerde ding te klikken.
VERWANT: Download.com en anderen bundelen Superfish-Style HTTPS Breaking Adware
En nu bundelen downloadsites, nepadvertenties voor software op zoekmachines en schetsmatige applicaties adware en crapware in installatieprogramma's voor legitieme software. Je kunt er niet zomaar van uitgaan dat je veilig bent, omdat je OS X gebruikt. Je moet voorzichtig zijn met wat je downloadt en waarop je klikt.
Als je denkt dat dit niet erg is, denk dan nog eens goed na. Deze stukjes adware worden rechtstreeks in de browser ingevoegd en ze analyseren en werken zelfs op beveiligde sites zoals uw bank, creditcardsite en e-mail, en sturen gegevens terug naar hun servers. Ze gebruiken geen een HTTPS-kapingsproxy nog niet helemaal uit wat we tijdens ons onderzoek kunnen vertellen, maar het is slechts een kwestie van tijd, en misschien doen ze het al en hebben we het bewijs nog niet gevonden.
Omdat we hier bij How-To Geek zelf voornamelijk Mac-gebruikers zijn, hopen we echt dat Apple een andere tactiek hanteert met dit probleem dan Microsoft heeft met Windows en niet toestaan dat deze oplichters hun platform vernietigen.
Gebundelde crapware voor OS X wordt elke dag erger
Het is nog niet zo lang geleden dat je bijna alles voor OS X vanaf bijna elke website kon installeren, en je hoefde je niet echt zorgen te maken over waar je op klikte. Dat is gewoon niet meer waar, en hoewel de dingen beter zijn dan in Windows, is het op dit moment slechts een kwestie van tijd.
VERWANT: Dit is wat er gebeurt als u de top 10 van Download.com-apps installeert
Je hebt nog steeds een veilige bron voor software met de Mac App Store, maar het probleem is dat niet alle leveranciers hun software via de App Store verkopen, en veel van hen verkopen daar oudere versies en hebben de nieuwste versie op hun eigen website. Als je je aan de App Store houdt, hoef je je nergens zorgen over te maken. We zouden graag zien dat Apple enkele van de App Store-problemen oplost en iedereen er gebruik van laat maken.
Net als op Windows, jij U hoeft niet verder te zoeken dan CNET Downloads om gebundelde crapware te vinden ... zelfs voor Mac. Dat klopt, ze zijn platformonafhankelijk gegaan met deze onzin. En ze hebben het nog erger gemaakt, omdat je een knop Installeren of een knop Sluiten hebt. Er is niet eens een weigering meer! Wanneer u op Sluiten klikt, wordt het installatieprogramma volledig afgesloten. U hebt dus ofwel crapware gebundeld die uw browser kaapt, of u kunt die app niet installeren.
Degene in de schermafbeelding installeert Spigot en een heleboel andere onzin die je browser doorverwijst naar Yahoo, een aantal ongewenste plug-ins installeert en over het algemeen het vliegende spaghettimonster aan het huilen maakt. Het is verbazingwekkend hoeveel geld Yahoo in deze dingen moet steken om uw browser naar hun zoekmachine te kapen ... terwijl die niet eens van hen is. Yahoo Search is eigenlijk gewoon een nieuwe versie van Bing. Ach ja.
Oh mijn! Op het volgende scherm laat het installatieprogramma je eindelijk weer iets weigeren! Misschien is het ding in de schermafbeelding zo erg dat zelfs CNET Downloads het je niet wil opdringen. Geen goed teken.
Het is natuurlijk niet alleen CNET Downloads die de bundeling uitvoeren - we hebben een aantal andere apps ontdekt die worden gedistribueerd op freeware downloadsites die hun eigen bundeling doen. Bijvoorbeeld YTD that laadt HTTPS-kapende adware voor Windows heeft een Mac-versie. En ze bundelen ook Spigot. Wil je iets torrents? Waarom download je uTorrent niet van hun website? Het lijkt erop dat mensen dat graag gebruiken. Ohhh.
Het probleem wordt veel, veel erger wanneer u naar freeware probeert te zoeken met uw favoriete zoekmachine. Dat is het vermelden waard Google is onlangs begonnen met het proberen gebundelde crapware te verbieden van hun resultaten en advertenties, maar helaas hebben Yahoo en Bing niet hetzelfde niveau van geweldig. In feite zijn ze gewoon verschrikkelijk.
Als u een gemiddelde, regelmatige gebruiker bent en u zoekt in Yahoo naar "vlc download", dan krijgt u iets te zien dat lijkt op de volgende schermafbeelding. En elk ding op de pagina is eigenlijk een link naar een gebundeld crapware-installatieprogramma voor VLC, en ze zijn bijna allemaal platformonafhankelijk en werken op OS X. En de tekst met 'ad' is bijna onzichtbaar.
Wanneer een nietsvermoedende gebruiker een van deze installatieprogramma's probeert te gebruiken, krijgen ze een scherm te zien dat lijkt op dit ... dat de vreselijke InstallMac installeert die alles kaapt en adware op je systeem plaatst - het is verschrikkelijk. En natuurlijk probeert het volgende scherm je ertoe te brengen iets anders te installeren dat je niet nodig hebt. En dan nog iets. Het is zo veel crapware.
We hebben veel meer software gevonden die op deze manier wordt aangeboden, met een heleboel installatieprogramma's van bijna elk gebundeld crapware-installatiebedrijf. Hier is een installatie-wrapper voor OpenOffice, gebundeld met een echt waardeloos stuk adware dat gewoon je browser overneemt. Ja, we zochten Yahoo opnieuw naar OpenOffice en klikten op wat we eigenlijk dachten dat de echte site was, omdat hun 'advertentie'-tekst zo klein was dat we het verschil niet konden zien. En dit is wat er naar boven kwam.
Het staat op het punt een epidemie te worden voor Mac-gebruikers. Dus waar kunnen we naar uitkijken?
Adware en malware op OS X is bijna net zo vreselijk als op Windows
Als het je lukt om ergens mee geïnfecteerd te raken, zullen de meeste adware, malware en spyware op OS X proberen je browser op de een of andere manier te infecteren, je nieuwe tabblad, zoek- en startpagina's kapen, advertenties in pagina's injecteren en willekeurig onaangename technische ondersteuningswaarschuwingen verschijnen. Het meeste ervan zal je harde schijf of iets vreselijks niet wissen ... maar op basis van de toenemende verfijning die we zien, is het slechts een kwestie van tijd.
Veel van deze browserkapers zullen advertenties invoegen die pop-upberichten weergeven die niet kunnen worden verwijderd, wat u ook doet, zoals u kunt zien in de bovenstaande schermafbeelding. En ze zullen de hele tijd willekeurig verschijnen terwijl u aan het browsen bent, en u moet CMD + Q gebruiken om de app volledig te sluiten om ze te verwijderen. In wezen wordt uw browser volledig onbruikbaar.
De eenvoudigste adware zal zichzelf als extensie in je browser installeren en al je pagina's resetten om door hun vreselijke, vreselijke zoekmachine te gaan. En daarmee bedoelen we meestal Yahoo ... maar er zijn een heleboel andere, zoals searchmoose, search-quick en searchbenny die hun eigen nep-zoekmachines gebruiken. Een paar van hen zullen u doorverwijzen naar Bing, maar nooit rechtstreeks. Het is altijd via een tussenpersoon zoals Trovi.
De meeste advertenties die worden geïnjecteerd, zullen proberen u te misleiden om nog meer advertenties te installeren met behulp van valse Java-plug-inberichten of berichten die u vertellen een codec of een nieuwe versie van Flash te installeren. Deze zijn natuurlijk allemaal nep en zullen gewoon nog meer crapware en malware op uw computer installeren. Af en toe zal een van hen proberen een stukje Windows-adware te presenteren, maar voor het grootste deel zijn ze slim genoeg om te weten dat je een Mac-gebruiker bent en bieden ze het juiste stukje crapware aan.
Veel van de adware zal uw zoekmachine omleiden naar een nep-zoekmachine die veel op Google of Bing lijkt, maar alle resultaten zijn niets anders dan advertenties.
En dan begint het willekeurig met je te praten. Letterlijk. Het speelt audioadvertenties af via uw luidsprekers. We hoorden een advertentie voor Northrup Grumman. Hoe gek is dat? (We zijn er vrij zeker van dat ze dit niet weten.)
We hebben net wat van de vervelende adware laten zien, maar veel van de meegeleverde crapware is ook behoorlijk waardeloos, en bijna elke crapwarebundler die we hebben gevonden, en bijna elke afzonderlijke adware-advertentie probeerde ons MacKeeper te laten installeren. We weten er niet veel van, hoewel we van plan zijn te onderzoeken hoe het werkt, omdat deze tactieken twijfelachtig zijn.
De grootste trend die we in adware hebben opgemerkt, is dat bijna alles probeert om uw browser en zoekmachine om te leiden naar Yahoo. Iemand daar bij Yahoo moet worden ontslagen.
Dieper graven: hoe sommige van deze malware echt werkt
De eenvoudige adware werkt zoals de meeste adware, door zichzelf te installeren in de extensies van Safari, die vrij eenvoudig te verwijderen is. Het probleem is dat in ons onderzoek slechts een paar stukjes adware op deze manier werkten.
Alle kapingen van zoekmachines, omleidingen naar de startpagina en extensies die advertenties injecteren, zijn één ding. Het grotere probleem is de serieuze malware, die zichzelf diep in het besturingssysteem installeert en de gemiddelde persoon deze nooit zou kunnen verwijderen. Er is geen verwijderprogramma, er is geen opstartitem, er zijn geen plug-ins in uw browser, extensies of iets anders dat lijkt te zijn geïnstalleerd.
Wat er echter zijn, zijn echt vreselijke advertenties die in alles wat je doet, worden geïnjecteerd, waardoor je computer langzamer wordt dan vuil. Uw zoekmachine wordt gekaapt en het is mogelijk dat uw browser wordt omgeleid via een proxy. Dit is regelrechte malware, het is niet alleen meer adware, zelfs als u per ongeluk bent vergeten ergens een selectievakje uit te schakelen. Het werkt op dezelfde manier als de Trovi-malware doet het op Windows , door zichzelf in processen te injecteren.
Deze serieuzere stukjes malware installeren zichzelf als een daemon of service die op de achtergrond en achter de schermen wordt uitgevoerd. Je kunt deze dingen vinden in de map / Library / LaunchAgents of / Library / LaunchDaemons, die een aantal echt vreemd uitziende items bevat die er gewoon niet thuis horen. Deze map kan ook worden gebruikt voor echte dingen uit echte applicaties, dus maak deze map niet helemaal schoon of zo.
Een onderzoek van het plist-bestand zal u laten zien waar de daadwerkelijke malware zich bevindt, die zich meestal in een volledig aparte map bevindt.
Wanneer u naar die map gaat en het Version.plist-bestand bekijkt, krijgt u wat meer informatie over wat er werkelijk aan de hand is. Dit ding heet Search-Quick en het ondersteunt het kapen van Chrome en Safari, evenals de Webkit nightly build om de een of andere reden.
Verder onderzoek levert iets merkwaardigs op… de persoon die deze malware schreef, wilde zijn moeder speciaal bedanken.
Zodra de malware door OS X als een daemon is gelanceerd, gebruikt het een weinig bekende functionaliteit in OS X waarmee het ene proces zichzelf in een ander proces kan injecteren. U kunt zien hoe het werkt door een terminal te openen en het uitvoerbare bestand van de agent rechtstreeks uit te voeren. Wat er feitelijk aan de hand is, is dat het zichzelf aan uw webbrowser koppelt en zichzelf laadt als een verborgen extensie. In de onderstaande schermafbeelding kunt u zien dat het is geactiveerd voor proces-ID 544, wat Google Chrome was. Het doet hetzelfde met Safari als het is geopend.
Dit betekent dat adware of malware actief is binnen van uw webbrowser, zichzelf injecterend in elke pagina die u bezoekt. Het maakt niet uit of u een beveiligde bankwebsite bezoekt of niet, ze zijn al binnen. Een van de bijwerkingen van deze malware is dat uw hele computer de hele tijd extreem traag zal zijn, ongeacht wat u doet.
Voor enkele tips over het verwijderen van adware en malware in OS X kunt u lees het ondersteuningsdocument van Apple , of wacht gewoon op onze aankomende artikelen over het onderwerp. We gaan nog veel meer onderzoek doen naar al deze dingen.
Dus wat betekent dit allemaal en hoe bescherm je jezelf?
Hoewel we hebben aangetoond dat malware, adware, crapware en spyware steeds erger worden op OS X, betekent dat niet dat je je per se zorgen moet maken of Linux moet gaan installeren of iets drastisch moet doen. OS X wordt nog steeds niet zo vaak aangevallen als Windows, en er zijn nog steeds enkele beveiligingsmaatregelen die het moeilijker maken voor malware om erdoorheen te komen.
Het veiligste dat u kunt doen, is de Mac App Store gebruiken om uw applicaties waar mogelijk te installeren. Deze applicaties zijn geverifieerd door Apple en zouden prima te gebruiken moeten zijn, en zullen zeker geen gebundelde crapware of adware bevatten.
Beperk apps die niet uit de App Store komen
Dit lost het probleem niet helemaal op, maar je kunt OS X configureren om automatisch alle uitvoerbare bestanden te beperken die niet uit de App Store komen. Dit is niet van toepassing op applicaties die al op uw computer zijn geïnstalleerd, ongeacht waar ze vandaan komen. Het is gewoon van toepassing op nieuwe downloads.
Ga naar Systeemvoorkeuren -> Beveiliging en privacy, klik onderaan op het vergrendelingspictogram en draai de instelling vervolgens om naar Mac App Store in plaats van de standaardinstelling.
Zodra u dit doet, wordt er automatisch een blokkeringsbericht weergegeven als u probeert iets uit te voeren dat niet in de App Store staat. U kunt ervoor kiezen om het nog steeds te openen als u met de rechtermuisknop klikt en Open kiest en vervolgens weer Open kiest, maar standaard is alles geblokkeerd.
Dit lost het probleem van applicaties niet op Doen wilt installeren met gebundelde crapware waarvoor standaard een opt-out vereist is. Maar het is een geweldige beveiligingsinstelling voor uw familieleden.
Als je een applicatie ergens anders moet installeren, zorg er dan voor dat het echt een vertrouwde bron is en geen nepsite die open source freeware aanbiedt met een bundlewarepapier.
VERWANT: Oracle kan de Java-plug-in niet beveiligen, dus waarom is deze standaard nog steeds ingeschakeld?
U zou ook moeten overwegen om uw browserplug-ins uit te schakelen - voor Chrome en Firefox, dat is vrij eenvoudig , voor Safari is het een iets ingewikkelder . Het belangrijkste dat u kunt doen, is schakel uw Java-plug-in uit , omdat je dat vrij zelden nodig hebt, en omdat Java was verantwoordelijk voor 91% van de aanvallen in 2013 . Dit verkleint uw kans op het doelwit zijn van een zero-day-aanval .
Het is misschien zelfs tijd om een antivirusprogramma voor OS X te overwegen, tenminste als je veel software wilt installeren van bronnen buiten de App Store. Als je dat niet doet, is het waarschijnlijk niet zo'n groot probleem, maar we komen dichter bij het punt waarop het nodig zal zijn. Wat we nog niet helemaal zeker weten, is wat antivirus voor Mac zelfs de moeite waard is en dit soort dingen blokkeert - op Windows blokkeert de meeste antivirusprogramma's de gebundelde crapware en adware helemaal niet, omdat ze legaal zijn omdat je tijdens de installatieproces. Dus betaal nu niet zomaar voor een antivirusprogramma. Houd het gewoon in gedachten voor de toekomst.
Wees verder voorzichtig waar u op klikt en vertrouw foutmeldingen die in uw webbrowservenster verschijnen niet. Als u iets ziet dat zegt dat uw computer is geïnfecteerd en er verschijnt een bericht, houdt u die CMD + Q-sneltoetscombinatie ingedrukt om alles onmiddellijk te sluiten.
Er is geen betere tijd voor Windows-gebruikers om over te schakelen naar Mac. Met zoveel crapware en adware dat wordt ontwikkeld, zullen ze zich meteen thuis voelen! (We maken natuurlijk een grapje.)
