Zwei Jahre alter Mac-Trojaner kursiert wieder

Eine bereits 2016 entstandene macOS-Malware, die sich in Form manipulierter Softwareprodukte verteilt, kursiert unter Apple-Nutzern derzeit erneut. Das meldet das Sicherheitsunternehmen Kaspersky. Der Schädling, den die Firma Calisto getauft hat, könnte ein Vorläufer des im letzten Jahr sehr aktiven Trojaners Proton sein. Dieser schaffte es sogar in bekannte Apps, weil es den Entwicklern gelungen war, die Server legitimer Hersteller anzugreifen.

2016 erstmals überprüft

Calisto wurde laut Kaspersky bereits 2016 offenbar zu Prüfzwecken bei VirusTotal hochgeladen. Danach tat sich zunächst wenig. Im Mai 2018 kam es dann zu neuerlichen Sichtungen. Die Malware besitzt verschiedene Funktionen zum Abgreifen von Daten, darunter den macOS-Schlüsselbund inklusive Passwörter und Token, Inhalte aus dem Browser Google Chrome (Historie, Bookmarks, Cookies) sowie Angaben über Netzwerkverbindungen. Zudem öffnet sie eine Hintertür für Remote-Zugriff und startet sich bei jedem Reset neu.

Ganz vollständig ist Calisto laut Kaspersky allerdings noch nicht. So wurde Code entdeckt, mit dem potenziell Kernel-Erweiterungen nachgeladen werden könnten, zudem Mechanismen zur Selbstzerstörung, die allerdings nicht fertiggestellt wurden. Auch sollte das Abgreifen von Daten noch weitergehen als "nur" Schlüsselbund und Chrome.

Anti-Virus-Software mit Schädling

Entdeckt wurde Calisto unter anderem in einer gefälschten Variante der Anti-Virus-Lösung Mac Internet Security X9 des Herstellers Intego – der Installer soll recht echt wirken. Allerdings besitzt die DMG-Image-Datei, über die der Schädling verbreitet wird, kein Zertifikat, entsprechend wird der Nutzer bei Startversuchen gewarnt.

Verschiedene andere Schutzmethoden, die in macOS eingebaut sind – darunter die System Integrity Protection (SIP) – verhindern zudem einige der Malware-Funktionen. SIP sollte stets aktiv bleiben. (bsc)