Terminalemulator iTerm & Co: App-Fälschungen bringen Mac-Malware

Offenbar werden Fälschungen bekannter Entwickler-Tools verbreitet, um Malware auf Macs einzuschleusen. Apple steuert gegen.

In Pocket speichern vorlesen Druckansicht 25 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Leo Becker

Eine größere Malware-Kampagne scheint auf Mac-Entwickler abzuzielen: Gängige Tools wie die Terminalemulationen iTerm 2 und SecureCRT, NaviCat 15, SnailSVN und die macOS-Version von Microsofts Remote-Desktop-Client werden als nachgebaute Versionen mit "vergifteten Installern" und als "infizierte Disk-Images" verbreitet, wie Sicherheitsforscher warnen.

Ziel sind im Moment offenbar vorrangig chinesische Entwickler: Eine Fake-Version des macOS-Terminalemulators iTerm2 wurde beispielsweise bei der Suchmaschine Baidu in Form eines gesponsorten Links vorübergehend als erster Treffer ausgeliefert. Die URL führte offenbar auf einen Nachbau der Original-Webseite, über die wiederum die manipulierte Version von iTerm zum Download angeboten wurde.

Der Klon sei weitestgehend "gutartig" und zeige eine "legitime iTerm-Shell", um Nutzer in Sicherheit zu wiegen, erläutert der Sicherheitsforscher Patrick Wardle, der die App analysiert hat – und ein Sample der "OSX.ZuRu" genannten Malware zum Test bereitstellt. Anti-Viren-Engines schlugen auf die Samples bei seiner Analyse noch nicht an.

Der in der App versteckte Schädling nehme Kontakt zu mehreren Servern auf und lade Software nach. Er versucht der Analyse zufolge unter anderem mit Hilfe eines Python-Skripts, den infizierten Mac umfassend zu inspizieren. Dafür werden möglichst viele Daten gesammelt und extrahiert, darunter etwa der Schlüsselbund des Nutzers mit allen dort gespeicherten Zugangsdaten, der Bash-Verlauf, Hosts und mehr, schreibt Wardle.

Die Suchmaschine Baidu hat die gesponsorten Links inzwischen entfernt. Apple hat außerdem das Entwickler-Zertifikat zurückgezogen, mit dem die Fake-Version von iTerm2 signiert war. Notarisiert sei die Malware nicht gewesen, merkt Wardle an. Ob die anderen genannten Fake-Mac-Tools ebenfalls signiert waren, bleibt unklar. Es handele sich um einen massiven Supply-Chain-Angriff auf macOS-Nutzer, merkt der Sicherheitsforscher Zhi an.

(lbe)