Proton: Signierter Mac-Trojaner wird für 45.000 Euro gehandelt
Die in einem russischen Message-Board gehandelte Malware soll weitgehenden Zugriff auf den Mac des Opfers ermöglichen – eine Signatur wiege Apples Schutzfunktion Gatekeeper in Sicherheit.
(Bild: Screenshot: Sixgill)
Unbekannte bieten in einem russischen Cybercrime-Message-Board ein für macOS entwickeltes Fernwartungs-Tool (Remote Administration Tool – RAT) an, das einen umfassenden Zugriff auf den Mac einer Zielperson verspricht. Die Proton genannte Malware soll unter anderem Tastatureingaben überwachen, Screenshots anfertigen, Dateien hochladen und Bash-Befehle als Root ausführen, wie die Sicherheitsfirma Sixgill berichtet – dies sei wohl nur durch Kenntnis einer bislang unbehobenen 0-Day-Sicherheitslücke möglich.
Apple-Entwicklerzertifikat für Signatur
Auch der Zugriff auf iCloud-Daten ist mit dem Tool angeblich möglich. Nach Angabe des Anbieters kann die Software mit einem Apple-Entwicklerzertifikat signiert werden – dann schlägt Apples in macOS integrierte Schutzfunktion Gatekeeper bei der Installation nicht an.
Das Einschleusen der Schad-Software müssen Käufer selbst übernehmen. Der Anbieter versucht offenbar, Nutzer zur freiwilligen Installation zu locken, indem Proton als Fernwartungs- und Überwachungs-Tool vermarktet wird, wie die Sicherheitsfirma anmerkt. In einem Werbevideo zeigt der Anbieter zudem, wie sich die Malware als Homebanking-Software Quicken tarnt.
45.000 Euro für das Gesamtpaket
Das Remote Access Tool wird für umgerechnet rund 45.000 Euro über das Message-Board angeboten, zu diesem Preis seien unlimitierte Installationen möglich. Zur Installation auf nur einem Ziel-Mac wird das Tool für 2 Bitcoin gehandelt – derzeit gut 2.300 Euro.
In der Vergangenheit waren Angreifer bereits mehrfach in der Lage, in den Besitz von Apple-Entwicklerzertifikaten zu gelangen, um ihre Schad-Software zu signieren – der Mac-Hersteller zog diese dann umgehend zurück. Mac-Malware ist immer noch vergleichsweise selten. Im vergangenen Jahr gab es einen ersten Versuch, einen Verschlüsselungstrojaner auf Macs zu bringen. Angreifer setzen aber durchaus auf spezielle Spionage-Tools für macOS, die gezielt gegen bestimmte Zielpersonen zum Einsatz kommen sollen.
(lbe)
