Vermeintliches Flash-Update installiert Mac-Malware

Ein angebliches Flash-Update will Mac-Nutzer derzeit wieder zur freiwilligen Installation von Schad-Software bringen, wie das SANS Internet Storm Center berichtet. Den Nutzern werde ein Browser-Dialog gezeigt, der zum Einspielen des vermeintlichen Updates auffordert und auf eine Download-Seite weiterführt.

Zertifikat gegen Gatekeeper

Um die in OS X integrierte Schutzfunktion Gatekeeper beim Öffnen des vermeintlichen Flash-Installers zu umgehen, benutzen die Angreifer ein Entwickler-Zertifikat. Das System warnt beim Öffnen zwar, dass die Datei aus dem Internet heruntergeladen wurde, führt diese aber aus, wenn der Nutzer auf "Öffnen" klickt.

Apple hat das in diesem Fall verwendete Zertifikat inzwischen offenbar zurückgezogen, allerdings könnten bereits wieder modifizierte Installer mit einem neuen Zertifikat im Umlauf sein. In der Standardeinstellung von OS X erlaubt Gatekeeper das Ausführen von mit Apples Entwickler-Zertifikat signierten Programmen sowie von Apps aus dem Mac App Store.

Der von Johannes B. Ullrich vom Internet Storm Center analysierte Installer spielte eine Scareware ein, die dem Nutzer Sicherheitsprobleme auf seinem Mac vorgaukelt und zur "Beseitigung" ein bezahltes Upgrade unterbreitet. Zugleich wird auch eine offenbar echte Flash-Version installiert.

Auch Updates nur direkt vom Hersteller

Vorgebliche Flash-Updates sind ein beliebtes Lockmittel, auf das Angreifer bereits seit Jahren setzen. Da das echte Flash-Plugin auf dem Mac mitunter ebenfalls plötzlich Update-Hinweise anzeigt – selbst wenn die automatische Aktualisierung aktiviert wurde –, kann der gefälschte Hinweis unerfahrene Nutzer leicht täuschen. Sicherheitshalber sollten Updates und Programme stets direkt von der Seite des Herstellers bezogen werden – und nicht nach Aufforderung durch einen plötzlich erscheinenden Hinweis. (lbe)