Mac-Malware will sich per Konfigurationsprofil einnisten

Eine neue Variante des Schädlings “Crossrider” manipuliert die Einstellungen, um auch eine manuelle Entfernung der Adware durch den Nutzer zu überdauern, warnt eine Sicherheitsfirma.

In Pocket speichern vorlesen Druckansicht 16 Kommentare lesen
Mac-Malware will sich per Konfigurationsprofil einnisten

Das eingeschleuste Konfigurationsprofil ändert die Browser-Einstellungen.

(Bild: Screenshot: Malwarebytes)

Lesezeit: 2 Min.

Die Malware Crossrider nutzt eine besondere Methode, um sich in macOS einzunisten: Mit Hilfe eines Konfigurationsprofils ändert diese die Einstellungen, wie die Sicherheitsfirma Malwarebytes erklärt. Dies soll die Browser Safari sowie Chrome dazu zwingen, beim Öffnen einer neuen Seite oder eines neuen Tabs stets eine spezifische Domain – eine vorgebliche Suchmaschine – aufzurufen.

Diese Methode erlaubt dem Schädling, länger auf einem Mac zu verbleiben: Selbst wenn das Opfer die von Crossrider ausgelieferte mitgelieferte Scareware Advanced Mac Cleaner manuell und vollständig vom Mac entferne, bleibe die Browser-Manipulation bestehen, betont die Sicherheitsfirma. Der Nutzer könne die manipulierte Einstellung im Browser selbst auch nicht wieder ändern.

Abgesehen von dem Konfigurationsprofil handelt es sich bei Crossride um "ganz normale" Adware, die sich als ein Update für Adobe Flash ausgibt und den Nutzer auf diese Weise zur Installation locken will – ein gängiges Mittel.

Die Profile tauchen in den Mac-Systemeinstellungen erst auf, wenn mindestens ein Profil installiert wurde.

Ob das Einspielen des Konfigurationsprofils die Eingabe eines Benutzer- respektive Admin-Kennwortes erfordert, lässt die Sicherheitsfirma offen.

Die Entfernung des Profils ist jedenfalls einfach und über die Systemeinstellungen von macOS möglich: Das Konfigurationsprofil lässt sich im Eintrag “Profile” löschen – dieser taucht erst auf, wenn mindestens ein Profil auf dem Mac installiert wurde. Dafür muss das von der Adware eingeschleuste Profil ausgewählt und anschließend der Minus-Button geklickt werden. Das schädliche Profil enthalte einen Verweis auf chumsearch – die vorgebliche Suchmaschine, merkt Malwarebytes an.

Konfigurationsprofile gelten auf iPhone und iPad seit längerem als mögliches Einfallstor für Malware und werden etwa über Werbenetzwerke ausgeliefert – installiert der Nutzer ein Profil bereitwillig, kann dieses weitreichende Änderungen an den Einstellungen durchführen.

tipps+tricks zum Thema:

(lbe)