MacStealer: gevaarlijk voor alle Mac-gebruikers?

30.03.2023

MacStealer is nieuwe Mac malware die de afgelopen tijd nog al in het nieuws was.

Deze software kan je wachtwoorden, cookies*, credit card gegevens, (gecodeerde) Sleutelhanger (en in tegenstelling tot Lastpass zal dit niet makkelijk gekraakt worden¹), documenten, en meer van je Mac halen.

Absoluut gevaarlijk dus, en zeker iets wat je niet op je Mac wilt!

* Het stelen van cookies klinkt misschien niet gevaarlijk als je niet goed weet wat cookies zijn. In de praktijk is een cookie vaak net zo waardevol als een wachtwoord, omdat je met een cookie direct kan inloggen op veel sites (zonder wachtwoord)!

Wat is MacStealer?

Je hebt nu al een beetje kunnen lezen wat MacStealer is: malware om gegevens van je Mac te stelen.

De software wordt natuurlijk vermomd als iets anders. Als het alleen al "MacStealer" zou heten zou je het misschien niet installeren.

Uit het rapport van Uptycs blijkt dat het voor nu verspreid werd met de naam "weed", en een icoontje wat doet denken aan een hennepplant.

Nu zal dit voor veel Apple Coach lezers genoeg reden zijn om het niet te openen. Maar zowel de naam als het icoon zijn eenvoudig te wijzigen voor een crimineel.

Dus ze kunnen het ook gewoon "MacCleaner", "Nieuws", "Fotobewerking" noemen, en een ander plaatje koppelen.

Zou je de app dan openen wordt je wachtwoord gevraagd. Ervaren Mac-gebruikers zullen gelijk zien dat het niet "klopt". Al was het maar omdat macOS geschreven wordt met een kleine letter. 😉

Deze nep-login wordt gemaakt met wat eigen code, en bevat verschillende fouten. Bron afbeelding: Uptycs

Moet ik me zorgen maken om MacStealer?

Veel van de nieuwsberichten die ik gezien heb focus-en erg op het "het kan heel veel gegevens stelen". Dat is ook zo, en als je het geïnstalleerd zou hebben moet je je zeker zorgen maken.

We zullen zo kijken hoe je dit kunt controleren, en wat je moet doen.

Maar hier is de andere kant: als jij je Mac goed geconfigureerd hebt voor veiligheid (iets wat ik goed nakijk in een Veilige Mac scan) zal er niet snel wat gebeuren.

Ik zal zo nog wat specifieke instellingen bespreken, maar standaard staat dit al goed.

Daarnaast: zolang je software installeer vanaf betrouwbare bronnen zal je hier niet snel mee in aanraking komen. Denk je slim te zijn door Final Cut Pro te downloaden vanaf een illegale website… Dan kan dit gebeuren.

Maar koop je FCP in de Mac App Store? Dan zal daar geen malware in zitten.

Hoe weet ik of MacStealer op mijn systeem zit?

Heb je reden om aan te nemen dat je MacStealer geïnstalleerd hebt?

In dit geval is het wat lastiger om te vinden, omdat het programma zichzelf opruimt, en niet in de achtergrond blijft draaien.

Dit in tegenstelling tot veel andere malware, die juist constant probeert te draaien — bijvoorbeeld om gegevens te stelen, of advertenties te tonen.

Het kan wel handig zijn om je Programma's/Apps-map te doorlopen, en te zien of er dingen in staan die je niet kent.

Zeker als deze niet digitaal getekend zijn, is het erg uitkijken, en wil je hier misschien een specialist naar laten kijken.

Om te controleren of een app digitaal getekend is kun je de Terminal gebruiken op de Mac, door eerst het volgende commando te plakken (ik raad je sterk aan te kopiëren/plakken, en het niet handmatig over te typen):

function digitaalgetekend(){codesign -dv --verbose=4 "$1" 2>&1 | grep -q '^Authority' && echo "App $1 is digitaal getekend" || echo "App $1 is NIET digitaal getekend"} && echo 'Functie succesvol geactiveerd'

Druk op Enter (↩) na het commando. Als de tekst "Functie succesvol geactiveerd" verschijnt is het gelukt.

Daarna kun je in diezelfde Terminal digitaalgetekend typen, gevolgd door een spatie, en dan een app in de Terminal slepen.

Na het slepen verschijnt automatisch het pad, en staat er bijvoorbeeld digitaalgetekend /Application/Pages.app

Druk weer op Enter (↩), en in beeld verschijnt of de app digitaal getekend is.

Als een app niet digitaal getekend is wil dat niet direct zeggen dat het onveilig is, maar meer dat de veiligheid niet gegarandeerd kan worden. (Wat het exact betekent is een verhaal voor een ander keer. 😉)

We zien hjier dat de Agenda app (Calendar) wel digitaal getekend is (logisch, van Apple), en de open source app Alacritty dat niet is — daar moet ik dus extra mee oppassen

Wat moet ik doen als MacStealer geïnstalleerd is?

Wanneer blijkt dat je de MacStealer-malware geïnstalleerd hebt is het zaak een aantal stappen te ondernemen:

Schakel deze Mac voor nu uit, zodat er geen verdere informatie kan lekken
Wijzig zo snel mogelijk je online wachtwoorden, bij voorkeur via een andere computer
Loop je belangrijkste websites (denk aan e-mail, webshops e.d.) na voor vreemde dingen: zijn er plots bestellingen geplaatst bijvoorbeeld?
Waar je de optie hebt voor "log mij uit van andere locaties" gebruik je deze het best.
Laat je Mac nakijken door een Apple specialist. Daar kun je mij voor vragen, en als je liever met iemand anders werkt vind ik dat ook prima.
Zolang je het maar goed laat nakijken door een expert! De kosten die je daarvoor maakt zullen veel lager zijn dan als dit uit de hand loopt.

Wat kan ik doen om MacStealer te voorkomen?

Ten slotte: wat kun je doen om malware als MacStealer te voorkomen?

Zoals mijn moeder altijd zei²: voorkomen is beter dan genezen.

Controleer de GateKeeper-instelling

Het eerste wat je zelf kunt doen, en wat ik zeker aanraad, is te controleren of je GateKeeper-instelling goed staat.

Er is een grote kans dat dit al het geval is. Dit is namelijk standaard het geval, en om het te veranderen naar de meest onveilige optie is een Terminal commando nodig.

Toch, ik heb het gezien bij mensen, dus ik waarschuw er voor. De controle verschilt een klein beetje of je Montery of ouder gebruikt, of juist Ventura of nieuwer.

Voor beide geef ik hieronder instructies. In beide gevallen moet de instelling in ieder geval niet staan op "Elke willekeurige bron", en deze optie zal in de meeste gevallen niet eens getoond worden.

Catalina, Big Sur, Monterey:

Klik op het Apple-menu (, linksboven)
Kies Systeemvoorkeuren
Ga naar Beveiliging & Privacy
Open het tabblad Algemeen
Kijk onderin naar de instelling

Zoek de Gatekeeper-instelling op in macOS Monterey of eerder; in deze afbeelding staat de instelling dus ONveilig

macOS Ventura:

Klik op het Apple-menu (, linksboven)
Kies Systeeminstellingen
Ga links naar Privacy en beveiliging
Scroll voorbij alle categorieën, en controleer de instelling

Houd je Mac up-to-date

De Mac heeft zelf allerlei beveiliging ingebouwd, maar daarvoor moet je vaak wel de laatste updates installeren.

Dat betekent niet dat je altijd op de allernieuwste versie moet draaien. In voorjaar 2023 is de nieuwste versie bijvoorbeeld macOS 13 Ventura, maar gebruik ik zelf nog macOS 12 Monterey op mijn belangrijkste Mac.

Het is zelfs maar [de vraag of upgraden naar Ventura al verstandig is][ventura_verstandig].

Ook macOS 11 Big Sur kan nog, en krijg nog beveiliging updates. Ouder dan dat, dus bijvoorbeeld macOS 10.15 Catalina of macOS 10.14 Mojave, zijn nu niet meer veilig.

Let dus op dat je je software bijgewerkt houdt.

Laat je Mac nakijken

Dit is natuurlijk ook een instelling die ik controleer tijdens een Veilige Mac scan.

Zo zijn er nog veel meer dingen die ik dan controleer (die vaak ook weer onderling afhankelijk zijn), om tot een compleet beeld te komen.

Heb je zelf een Apple specialist in je omgeving? Dan kun je die natuurlijk ook altijd even vragen of ze je Mac na willen lopen op het gebied van veiligheid.

Let in ieder geval wel op dat het gebeurt door iemand die gespecialiseerd is in Apple / macOS, want dit is heel anders dan bij Windows.

Gebruik anti-malware software

Je kunt anti-malware software, of een virusscanner, overwegen.

Ik denk dat je het niet nodig hebt in de meeste gevallen, zoals ik al eens eerder gezegd heb.

Als je toch iets wilt zou ik kijken naar CleanMyMac X (meer nuttige functies dan alleen anti-malware, zie hier voor meer informatie), Malwarebytes (zelfs de gratis versie is prima), of Intego.

CleanMyMac X doet meer dan alleen anti-malware bescherming

Gebruik betrouwbare bronnen, en je gezond verstand

Ten slotte, en dit is misschien wel de belangrijkste tip: gebruik je gezond verstand.

Als je probeert om software van 300 euro gratis of zeer goedkoop te krijgen, is er natuurlijk een redelijke kans dat je opgelicht wordt.

Je zou ook niet proberen voor 50 euro een iMac te kopen op Marktplaats, zeker niet als de ophaallocatie ergens een steegje achter een flatgebouw is.

Zolang je gebruik maakt van betrouwbare bronnen om je software te downloaden (beperk je bij voorkeur tot de Mac App Store, en adviezen van vertrouwde Apple-kenners), en nooit zomaar je wachtwoord intypt, ben je 90% op weg.

Betekent dat dat er nooit iets kan gebeuren? Helaas wel.

De hackers worden ook steeds slimmer, en daarom wordt het moeilijker om echt te onderscheiden van nep. Niet lang geleden had ik zelf nog en twijfel-momentje over iets wat een phishing-email bleek te zijn.

Voor mij waren er genoeg signalen om het te herkennen, maar het feit dat ik ook maar twee tellen twijfelde vertelt me wel weer hoe slim de criminelen zijn.

Blijf dus vooral heel goed opletten, en wees voorzichtig, vooral als je twijfelt. Mail me ook gerust even als je niet zeker bent, vaak kan ik je gelijk vertellen of iets betrouwbaar is.

Daar staat tegenover dat er om je wachtwoord gevraagd wordt door de app, en dat opgeslagen wordt. Daarmee geef je mogelijk onbedoeld zelf je Sleutelhanger-wachtwoord aan de aanvaller! ↩︎
Ze leeft nog hoor, dus waarschijnlijk zegt ze het nog steeds. Ik heb het gewoon een tijdje niet gehoord. ↩︎

Hey, ik ben Martijn en al meer dan 10 jaar "de Apple Coach". Expert op het gebied van alles wat met Apple te maken heeft: Macs, iPhones, iPads, en meer.

Wil je in je eigen tempo meer leren over je Apple? Word lid van de Apple Coach Academie! (En krijg toegang tot 100 Apple cursussen!)
Liever direct met mij werken? Dat kan, maak een afspraak via deze pagina, en ik help je zonder dat je de deur uit hoeft.
Heeft je Mac gewoon even een goede onderhoudsbeurt nodig? Vraag er hier één aan.

meld je nu aan voor je gratis sneltoetsen spiekbriefje