Trend Micro Threat Research Engineer Benson Sy onderschepte twee QuickTime.MOV-bestanden (001 dvdrip Salt.mov, zout dvdrpi [btjunkie] [xtrancex]. MOV), van de recente film Salt,
waarin Angelina Jolie de hoofdrol vertolkt. De bestanden wekte argwaan vanwege hun relatief kleine omvang ten opzichte van reguliere filmbestanden.
Beide filmbestanden worden gedetecteerd door Trend Micro als 'TROJ_QUICKTM.A.' Zo meld Marco Dela Vega op het blog van Trend Micro.
Als de film bestanden door de QuickTimeplayer worden geladen leid het de gebruikers naar schadelijke website's om zo andere malware op je systeem te loodsen.

Zo doet de malware zich voor als een 'codec update' of een andere 'player installatie'.
Bij het eerste filmbestand verschijnt een "Error: codec update is required" en leid naar een 'QuickTime_Update_KB640110.exe' welke door Trend Micro gedetecteerd word als 'TROJ_TRACUR.SMDI.'
Het tweede filmbestand leid je naar een andere player instal welke door Trend Micro wordt herkend als 'TROJ_DLOAD.QWK.'
Telkens vraagt het de gebruiker het gedownloade bestand uit te voeren of op te slaan.

Bij uitvoeren van het tweede bestand 'TROJ_DLOAD.QWK' wordt er een .CAB file gedownload welke de Tango Toolbar op je systeem installeerd, de file houd tevens nog twee andere trojans in.

Dit beveiligingslek is niet gerelateerd aan het ernstig beveiligingslek dat eerder deze week door Krystian Kloskowski werd ontdekt.

Een feature in QuickTime Player om aanvullende bestanden te downloaden, wordt gebruikt voor het infecteren van internetgebruikers.
De mediaspeler geeft media de mogelijkheid om aanvullende bestanden te downloaden. "En cybercriminelen gebruiken dit voor het downloaden
van malware van kwaadaardige websites", zegt Marco Dela Vega van anti-virusbedrijf Trend Micro.

Onderzoekers van de virusbestrijder ontdekten twee .MOV bestanden die zogenaamd de film Salt zouden laten zien. Het openen van de bestanden
in QuickTime laat geen film zien, maar zorgt er wel voor dat de mediaspeler een codec of andere mediaspeler wil downloaden. Gebruikers moeten hier nog wel
toestemming voor geven. In tegenstelling tot normale films is de omvang van deze bestanden erg klein, wat volgens Dela Vega het verdacht maakt.

Feature

In eerste instantie dacht Trend Micro dat het om een potentieel beveiligingslek ging, maar inmiddels heeft Apple laten weten dat het een feature betreft.
"De bestanden gebruiken social engineering om de gebruiker te verleiden en hem malware vermomd als een codec te laten downloaden", aldus Apple.

Het bedrijf merkt tevens op dat deze aanval niets te maken heeft met het beveiligingslek dat onlangs in de software werd ontdekt.
Na het openen van de malware wordt onder andere de Tango Toolbar geïnstalleerd.



Bron: security.nl