Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Huckepack-Malware trickst Mac-Sicherheitsmechanismen aus

Der über Banner-Werbung ausgelieferte Schädling kann Malware nachladen, die Schutzmechanismen von macOS umgeht.

In Pocket speichern vorlesen Druckansicht 95 Kommentare lesen
MacBook

(Bild: dpa, Silas Stein/Illustration)

Lesezeit: 2 Min.
Mac & i
Von
  • Leo Becker

Die Mac-Malware Shlayer setzt auf neue Verfahren, um die Sicherheitsmechanismen von macOS zu umgehen. Shlayer wird seit längerem in großem Stil über Banner-Werbung ausgeliefert und ist gewöhnlich mit einem Apple-Entwicklerzertifikat signiert, sodass der Nutzer beim Ausführen keinen Warnhinweis sieht. Die Malware tarnt sich gewöhnlich als Flash-Updater und ist darauf angewiesen, dass der Nutzer sie eigenhändig installiert.

Tarmac umgeht Apples Gatekeeper und XProtect

Mit einem solchen Hinweisdialog versucht die Malware das Nutzerpasswort zu erlangen.

(Bild: Confiant)

Eine weitere Variante von Shlayer lädt nach der Installation per Skript eine neue, "OSX/Tarmac" genannte Schadsoftware nach, wie aus einer Analyse der Sicherheitsfirma Confiant hervorgeht. Tarmac wird über das Kommandozeilenprogramm curl heruntergeladen und kommt so ohne Quarantäne-Attribut auf den Mac – dadurch wird der Schädling auch unsigniert ausgeführt, ohne dass die in macOS integrierten Schutzmechanismen Gatekeeper und XProtect anschlagen, wie die Sicherheitsforscher erklären. Das gelte zumindest bis hin zu macOS Mojave 10.14.6.

Tarmac versucht der Analyse zufolge zuerst, mit einem gängigen Autorisierungsdialog das Passwort des Nutzers abzugreifen, um erweiterte Rechte zu erlangen. Die Malware sei von versierten und mit macOS vertrauten Entwicklern geschrieben und tarne ihre Funktionsweise geschickt, schreibt Confiant. Den Sicherheitsforschern ist es nicht gelungen, Einblick in den verschlüsselten Netzwerkverkehr mit dem Command&Control-Server zu erlangen, es sei aber klar, dass Tarmac weiteren Code nachladen könne.

Mac-Malware Shlayer schon länger im Umlauf

Shlayer ist bereits seit fast zwei Jahren in Umlauf und wird in immer neuen Varianten gesichtet. Vorausgehende Exemplare des Schädlings versuchten etwa, Apples Gatekeeper ganz abzuschalten. Bislang scheint Shlayer hauptsächlich dafür eingesetzt worden zu sein, um Adware auf dem Mac des Opfers zu installieren. Durch die Einbindung in Banner-Werbung kann der Trojaner auch beim Besuch normaler Webseiten plötzlich zum Download angeboten werden, Nutzer sollten derart angebotene Software keinesfalls installieren.

Ebenfalls interessant:

(lbe)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Forum bei heise online: Mac OS X

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten