Keydnap: Mac-Malware will Passwörter aus Schlüsselbund klauen
Der als harmlose Datei getarnte Schädling versucht mit einem Trick, das Passwort des Nutzers zu erlangen. Mit Root-Rechten geht Keydnap dann auf die Jagd nach den im Schlüsselbund von OS X abgelegten Kennwörtern.
(Bild: dpa, Karl-Josef Hildenbrand / Symbolbild)
- Leo Becker
Eine neue Malware hat es auf den Schlüsselbund von Mac-Nutzern abgesehen: Die "Keydnap" getaufte Schadsoftware steckt in einem ZIP-Archiv und gibt sich nach dem Entpacken als gewöhnliche Bild- oder Textdatei aus, wie die Sicherheitsfirma ESET berichtet. Öffnet der Nutzer das auf diese Weise verborgene Programm, zeigt die in OS X integrierte Schutzfunktion Gatekeeper eine Warnung an – falls die Standardeinstellungen beibehalten wurde, die nur signierte Software ohne Umweg zulässt.
Backdoor zur Fernsteuerung
Wird der Schädling dennoch ausgeführt, öffnet sich kurz das Terminal, anschließend wird zur Tarnung ein harmloser Screenshot in der Vorschau-App geöffnet, erklären die Sicherheitsforscher. Keydnap richte eine Backdoor ein, die sich als "icloudsyncd" ausgibt, darüber kommuniziere die Malware mit einem Command-and-Control-Server. Wenn der Schädling bemerkt, dass der Nutzer beispielsweise ein anderes Programm öffnet, blendet er eine an den Systemdialog angelehnte Passwortabfrage ein – gibt der Nutzer das Admin-Kennwort ein, erhalte der Schädling zudem Root-Rechte, so ESET.
Interesse an Nutzerpasswörtern
Offenbar unter Verwendung des Tools keychaindump versucht dieser dann, Passwörter aus dem Adressraum des Systemprozesses securityd auszulesen, dort sind bestimmte entsperrte Master-Keys der Schlüsselbund-App zu finden, die alle Nutzer-Passwörter in OS X verwaltet – damit wiederum können angeblich einzelne Passwort-Einträge entschlüsselt werden.
Wie genau sich der Schädling verbreitet und wie viele Nutzer davon betroffen sind, sei bislang unklar, betonen die Sicherheitsforscher. Es ist zu vermuten, dass die ZIP-Datei beispielsweise per E-Mail als Anhang in Spam-Mails verbreitet wird.
Vor wenigen Tagen erst hat eine anderer Sicherheitsforscher vor einem weiteren auf Mac-Nutzer abzielenden Schädling "Backdoor.MAC.Elanor" gewarnt, der ebenfalls eine Hintertür einrichtet und verschiedene Aktionen ausführen kann. Auch dieser war unsigniert und lässt sich deshalb bei unveränderter Standardeinstellung von OS X nicht ohne weiteres Öffnen. In der Vergangenheit waren Angreifer aber mehrfach in der Lage, in den Besitz von Entwicklerzertifikaten zu gelangen, um ihre Schad-Software zu signieren – damit würde auch Gatekeeper gewöhnlich nicht mehr anschlagen.
(lbe)
