Apple blockiert signierte Mac-Backdoor
Als Flash-Player-Update getarnt versucht die mit einem Apple-Entwicker-Zertifikat signierte Mac-Malware, den Nutzer zur freiwilligen Installation zu bringen. macOS soll ein Ausführen des Schädlings nun verhindern.
Neue Mac-Malware, uralter Trick: Sie tarnt sich als Flash-Update.
(Bild: Screenshot: Volexity)
Apple hat die in macOS integrierte Malware-Datenbank XProtect aktualisiert: Das Betriebssystem soll nun Alarm schlagen, wenn Nutzer einen “OSX.Leverage.A” genannten Schädling öffnen wollen. Der Trojaner wurde bestimmten Besuchern einer georgischen Webseite als vorgebliches Update für Adobes Flash-Player angeboten, wie die Sicherheitsfirma Volexity berichtet.
Malware zielt speziell auf Safari-Nutzer ab
Die Angreifer setzten der Analyse zufolge zusätzlich auf eine spezifische Safari-Funktion, um die ausgelieferte .zip-Datei direkt nach dem Download zu öffnen – der Nutzer muss dafür aber erst einen automatisch erscheinenden Hinweis-Dialog bestätigen, dass er das aus dem Internet geladene Programm tatsächlich starten möchte.
Die Malware war durch ein Apple-Entwicklerzertifikat signiert, merken die Sicherheitsforscher an. Apples Schutzfunktion Gatekeeper würde bei der anschließenden Installation deshalb nicht Alarm schlagen – bis Apple das Zertifikat zurückzieht. Der Einsatz von Entwicklerzertifikaten für Malware scheint zunehmend beliebt, sie sind durch Abschluss einer Mitgliedschaft in Apples Entwicklerprogramm erhältlich, die 100 Dollar pro Jahr kosten. Kriminelle würden in kurzer Zeit zahlreiche neue Mitgliedschaften abschließen, um ihre Malware mit den Zertifikaten zu signieren.
OSX.Leverage neue Variante eines älteren Trojaners
Bei OSX.Leverage.A handelt es sich um die Variante eines schon 2013 gesichteten Trojaners, der sich damals als Bild-Datei ausgab und nach der Installation unter anderem ein Logo der Hacker-Gruppe Syrian Electronic Army auf den Mac lud, wie die Sicherheitsfirma Intego anmerkt.
Die neue Ausführung der Malware richte eine Hintertür ein und versuche, Kontakt zu einem Command- and Control-Server aufzunehmen. Sie räumt dem Angreifer auf dem infizierten Mac “unbegrenzte Funktionen auf Kommandozeilenebene” ein, so Volexity.
Mehr zum Thema:
- In einem ausführlichen Sicherheitsschwerpunkt in Mac & i Heft 4/2017 erfahren Sie, wie man iOS und macOS absichert. Die neue Mac & i ist ab dem 3. August im Zeitschriftenhandel erhältlich.
(lbe)
