Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Mughthesec: Signierte Mac-Malware im Umlauf

Mit einem Apple-Entwicklerzertifikat wiegt der Schädling die in macOS integrierte Schutzfunktion in Sicherheit und spielt mehrere Adware-Tools ein, die unter anderem den Browser manipulieren.

In Pocket speichern vorlesen Druckansicht 17 Kommentare lesen
Mac-Adware

(Bild: Screenshot: Patrick Wardle)

Lesezeit: 2 Min.
Mac & i
Von
  • Leo Becker

Die auf Mac-Nutzer abzielende Schadsoftware “Mughthesec” wird bislang nicht von Antiviren-Tools erkannt – und ist durch ein Apple-Entwicklerzertifikat signiert, das zum Zeitpunkt der Analyse noch aktiv war, wie der Sicherheitsforscher Patrick Wardle ausführt. Die Signatur sorgt dafür, dass die in macOS integrierte Schutzfunktion Gatekeeper bei der Installation der Malware nicht anschlägt – Apple zieht die Zertifikate, die in jüngster Zeit wieder verstärkt für den Vertrieb von Schad-Software zum Einsatz zu kommen scheinen, gewöhnlich relativ schnell zurück. Wardle hat ein Sample des Schädlings von einem betroffenen Nutzer erhalten und näher studiert.

Beliebte Tarnung als Flash-Installer

Mugthesec bedient sich eines gängigen Weges, um Nutzer zur freiwilligen Installation zu locken: Die Malware tarnt sich als Flash-Player, der tatsächlich mit ausgeliefert wird. Der Installer weist sogar darauf hin, dass mehrere Adware-Tools eingespielt werden, merkt Wardle an – das dürften viele Nutzer aber überlesen. Klickt man auf “Weiter” landet “Advanced Mac Cleaner”, Safe Finder und Booking.com auf dem Mac. Advanced Mac Cleaner gaukelt verschiedene Probleme vor, die sich durch den Kauf der Software lösen lassen sollen.

Manipulation von Suchanfragen in Safari

Mit Safe Finder wird zudem der Browser manipuliert, führt der Sicherheitsforscher weiter aus: Mughthesec setzt eine neue Homepage und manipuliert Suchergebnisse mit eigenen Affiliate-Links. Derzeit scheint nur Apples vorinstallierter Browser Safari davon betroffen, dort wird auch eine Extension installiert.

Die Mac-Malware sei nicht sonderlich ausgeklügelt, betont Wardle, doch setzt sie auf eine Signatur, wurde noch nicht von AV-Software erkannt – und infiziert aktiv Mac-Nutzer. Es handele sich dabei wohl um eine neue Variante bereits bekannter Adware, die als SafeFinder/OperatorMac geführt wird.

Betroffene Nutzer können Mugthesec zwar manuell entfernen, wie Wardle anmerkt, doch könnte der Installer auch andere Malware einspielen – am besten sei deshalb wohl eine Neuinstallation von macOS.

Lesen Sie auch:

(lbe)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Forum bei heise online: Mac OS X

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten