Malvertising: macOS-Malware versteckt Bing-Einträge in Google-Ergebnisliste
Ein falsches Flash-Plugin installiert einen Spionage-Proxy und umgeht Apples Sicherheitsmaßnahmen in Mojave.
Macs mit Mojave.
(Bild: Apple)
Ein Sicherheitsunternehmen hat einen neuen Man-in-the-Middle-Proxy-Angriff für Apple-Rechner entdeckt, der Schutzfunktionen im jüngsten macOS Mojave umgehen kann. Es handelt sich dabei um eine neue Variante der Malvertising-Software SearchProxy, wie das Sicherheitsunternehmen AiroAV kürzlich ermittelt hat. Die Schadwirkung ist interessant: In Suchergebnislisten von Google werden mittels iFrame Treffer von Bing eingebunden, mit deren Hilfe die Macher offenbar Geld verdienen.
Zertifikate "on the fly"
Um das umzusetzen, wird ein Proxy installiert, der dank von der Software im System verankerten Root-Zertifikat SSL/TLS-Certs "on the fly" generieren kann – was auch für Google.com gilt. Dem Nutzer soll dabei nichts auffallen, es erscheint keine Fehlermeldung. Folglich passieren alle Web-Verbindungen – auch verschlüsselte – den Proxy und die Angreifer können mitlauschen.
Bei der Installation der jüngsten SearchProxy-Variante muss ein Opfer allerdings mitmachen: Sie verbreitet sich als gefälschtes Flash-Plugin, dass der User selbst installieren muss. Ist dies erfolgt, meldet der Apple-Browser Safari beim nächsten Start, dass ein "Sicherheitsupdate" notwendig sei. Um es zu installieren, muss ein Administratorenpasswort eingetippt werden. Dies vervollständigt wiederum die Installation des Schädlings – inklusive Root-Zertifikat und besagtem Proxy. Letzterer lässt sich in den Systemeinstellungen unter Netzwerk einsehen – er läuft auf dem localhost-Port 8003.
Methode ist radikaler
AiroAV glaubt, dass die Macher hinter SearchProxy die MITM-Methode wählen, weil Apple in macOS Mojave die Möglichkeiten von Safari-Plugins eingeschränkt hat – ebenso wie bestimmte AppleScript-Funktionen, die die Entwicklung von Werbeschädlingen erleichterten. Der Ansatz ist jedoch noch deutlich gefährlicher, als wenn mittels Plugin auf angesurfte Websites reagiert würde: SearchProxy kann so den kompletten Datenverkehr des Nutzers ablauschen, egal ob verschlüsselt oder nicht.
Man sollte allgemein aufpassen, was auf seinem Computer installiert – insbesondere, wenn ein Adminpasswort verlangt wird. Nähere Details zum Ablauf bei SearchProxy kann man in einem Beitrag nachlesen. (bsc)
