MacMalware in opkomst, niet 'automatisch veilig' met OS X

Tekst: Steven Bolt

Begin mei verscheen MAC Defender, een vorm van scareware die Windowsgebruikers bekend zal voorkomen. De verspreiding gebeurt meestal via legitieme websites, gekraakt en uitgerust met 'SEO kits'; software die webpagina's vult met populaire zoektermen, zodat ze hoog scoren bij Google en andere zoekmachines.

Slachtoffers volgen een link op een lijst van zoekresultaten en worden ongemerkt doorgestuurd naar een criminele website. Daar zegt "Apple Web Security" allerlei malware te hebben gevonden in hun computers. Bovendien start automatisch de download van een gezipt pakket ellende.

Safari (Apple's browser) is vaak zo ingesteld dat veilig geachte bestanden automatisch worden geopend. In dat geval verschijnt vanzelf het netjes afgewerkte, professioneel ogende installatievenster van Mac Defender - ook bekend onder namen zoals MacProtector, MacSecurity en MacShield.

Direct na installatie wordt een grote schoonmaak aangeboden. Tegen betaling per creditcard, uiteraard. Om de argeloze gebruiker aan te sporen worden zo nu en dan pornosites in beeld gebracht. En natuurlijk laat Mac Defender zich niet zomaar uitschakelen.

"Zorgeloos downloaden"

De eerste versies vroegen om het wachtwoord van de beheerder. Op 25 mei werd een variant gezien die zonder dat wachtwoord actief kan worden. De gebruiker moet nog wel zelf besluiten tot installatie. Dat het zonder wachtwoord kan, berust op het feit dat Mac Defender het besturingssysteem met rust laat. Toegang tot de applicatiefolder volstaat, en de meeste Macgebruikers draaien met voldoende beheersrechten om die toegang al dan niet bewust te verlenen.

Het aanzienlijke 'succes' van Mac Defender is niet of nauwelijks te wijten aan OS X. De zwakke plek ontstond als gevolg van Apple's eigen reclameteksten, waarin nadrukkelijk wordt gemikt op klanten die weinig kennis van zaken hebben - en dat graag zo willen houden. Onder "waarom een Mac?" lezen we op apple.com/nl over "zorgeloos downloaden" en dat het "met Mac OS X eenvoudig is om veilig online te zijn." Want "Een Mac wordt, anders dan Windows-computers, niet door duizenden virussen belaagd. Dankzij de ingebouwde beveiliging in Mac OS X blijft je computer optimaal beschermd, zonder dat je er iets voor hoeft te doen."

Maar de gebruiker blijft toch echt zelf verreweg het belangrijkste onderdeel van elke beveiliging tegen criminaliteit op internet. Klanten in de waan laten dat ze met gerust hart dom kunnen blijven zolang ze een Mac gebruiken in plaats van een Windows-pc was altijd al een dubieuze strategie. Nu criminelen wat meer geneigd zijn om hun werkterrein uit te breiden, lijkt die tactiek zich tegen Apple te keren.

Apple reageert tot nu toe zwakjes. Een recente en goed bijgehouden versie van OS X (Snow Leopard plus update 2011-003) wordt sinds 31 mei dagelijks voorzien van verse definities voor de herkenning van nieuwe malware. Niet vaak genoeg, want tot nu toe reageren de makers van MacDefender steeds binnen enkele uren met nieuwe versies, waar OS X de rest van de dag geen vat op heeft. Het lijkt verstandig om Safari zo in te stellen (onder voorkeuren, algemeen) dat ook 'veilige' bestanden niet automatisch geopend worden. Apple adviseert dat niet, vermoedelijk omdat het een gebrek aan vertrouwen in de "optimale bescherming" impliceert.

Hoe nu verder?

OS X is een uitstekend besturingssysteem, ook als het gaat om inbraakpreventie. Maar de gebruiker moet wel wat huiswerk doen en bij de les blijven. Geforceerd stoppen van een applicatie, verwijderen wat niet thuishoort in de applicatiefolder en onder systeemvoorkeuren, accounts, inloggen - het ligt nogal voor de hand en is voldoende om alle versies van MacDefender pijnloos kwijt te raken.

De oplossing van Apple lijkt althans sommige gebruikers wat zwaarder op de maag te liggen dan het probleem; ze rapporteren een blijvend overbezette cpu met vertraging van de normale processen als gevolg. Wie daarop stuit, moet alsnog zelf aan de slag.

Of toekomstige MacMalware het de verstandige gebruiker even makkelijk zal maken, is de vraag.