Malware mit Apple-Entwicklerzertifikat spioniert HTTPS-Traffic aus
Eine neue macOS-Malware namens DOK macht derzeit die Runde und gibt vor, ein System-Update zu sein.
Die IT-Sicherheitsfirma Checkpoint hat eine bisher unbekannte auf den Mac abzielende Malware entdeckt, bei deren Installation das Betriebssystem keine Warnung ausgibt. Die Malware mit Namen DOK verfügt über ein von Apple ausgestelltes Entwicklerzertifikat und spioniert den verschlüsselten Datenverkehr des Rechners aus. Allerdings muss das Opfer nach Ausführung von DOK ein Administratorpasswort eingeben. Anschließend installiert der Schädling ein neues Root-Zertifikat im System, welches das Abhören von HTTPS-Verbindungen erlaubt.
Unregelmäßigkeiten beim Steuerbescheid
Der Vertrieb von DOK läuft laut Angaben von Checkpoint momentan über eine Phishing-Kampagne. In den englischen E-Mails heißt es, es sei zu Unregelmäßigkeiten beim Steuerbescheid des Empfängers gekommen. Dieser solle eine Datei herunterladen, um das Problem zu beheben.
Die heruntergeladene Zip-Datei lässt sich auf dem Mac ohne Warnung ausführen, weil sie über besagtes Apple-Entwicklerzertifikat verfügt – der macOS-Systemschutz Gatekeeper greift deswegen nicht. Die Malware installiert sich im Verzeichnis "/Users/Shared/" und soll auch nach Neustarts als Autostart-Eintrag erhalten bleiben.
Administratorpasswort notwendig
Nach Ausführung von DOK erscheint ein Fenster, das dem Nutzer "OS X Updates" verspricht. "Ein Sicherheitsproblem" sei identifiziert worden. Anschließend wird dieser aufgefordert, sein Administratorpasswort einzugeben. Ein Zugriff auf andere Programme soll währenddessen nicht möglich sein.
Das Hauptfenster der Malware ist mit dem Icon von Apples App Store versehen und sieht echt genug aus, um Anwender auf den ersten Blick zu täuschen. DOK legt laut Checkpoint einen Proxy an, um den Datenverkehr über einen Man-in-the-middle-Angriff auszuleiten. Apple ist laut Checkpoint über den Angriff informiert, hat den Systemschutz XProtect aber bisher nicht aktualisiert. Das Zertifikat sollte Apple ebenfalls zurückziehen, so Checkpoint. Die Malware soll insbesondere in Europa die Runde machen.
[Update 01.05.17 16:44 Uhr:] Apple hat das Entwicklerzertifikat für DOK mittlerweile zurückgezogen, entsprechend sollte bei einem Installationsversuch eine Warnung erscheinen. Der Schädling soll auch in deutscher Sprache unterwegs sein und sich als Nachricht der Schweizer Steuerbehörden tarnen. (bsc)