Anzeige

Mac MalwareDie zweifelhafte Ehre, die hauptsächlich Linux und Windows Nutzern vorbehalten ist, trifft leider auch vermehrt Apple-User: Malware für den Mac findet immer häufiger Zugang zu Apple-Geräten.

Der europäische Security-Software-Hersteller ESET analysierte in den vergangenen Wochen einen aktuell besonders interessanten Fall. Die als OS X/Keydnap bekannte Malware versucht, ein permanentes Backdoor zu installieren und unbemerkt Anmeldedaten von Nutzern auszuspähen.

Unbekannter Infektionsweg

Bisher ist noch nicht klar, wie Opfer auf OS X/Keydnap hereinfallen. Verantwortlich dafür könnten Spam-Nachrichten, Downloads von nicht vertrauenswürdigen Quellen oder manipulierte E-Mail-Anhänge sein. Bislang bekannt ist, dass über eine .zip Datei ein Downloader verbreitet wird. Die Archivdatei enthält eine ausführende Mach-O-Datei mit einer Endung wie .txt oder .jpg, die Vertrauen erwecken soll. Allerdings enthalten die Dateiendungen zusätzlich ein Leerzeichen am Ende. Damit die Chance erhöht wird, dass der User auf die Dateien klickt, ahmen sie bekannte Icons nach. Einmal gestartet, öffnet sich das Terminal-Fenster und die böswillige Nutzlast wird ausgeführt.

Die Funktionsweise des Keydnap Downloaders ist simpel:

  1. Er lädt ein Backdoor herunter und installiert es
  2. Der Inhalt der Mach-O-Datei wird durch einen Köder ersetzt – entweder eine eingebettete oder durch eine aus dem Internet heruntergeladene Datei
  3. Öffnen des Köder-Dokuments
  4. Schließen des Terminal-Fensters, das kurz geöffnet wurde

Der Downloader ist nicht dauerhaft. Allerdings fügt das heruntergeladene Backdoor einen Eintrag in das LaunchAgents-Verzeichnis hinzu, um zukünftige Neustarts zu überleben. Das OS X/Keydnap Backdoor ist mit einem Mechanismus ausgestattet, der Passwörter und Schlüssel abfangen und auslesen kann, die in OS X Keychain gespeichert sind.

Sicherheitsmechanismen werden umgangen

Zwar gibt es mehrere Sicherheitsmechanismen in OS X, die für Malware ein Hindernis darstellen. Dennoch ist es möglich, die Sandbox des Users zu umgehen und bösartigen Code einzuschleusen, indem im Prinzip einfach das Symbol einer Mach-O-Datei ersetzt wird.

Die ausführliche Analyse findet sich im deutschsprachigen Blog von ESET.

www.eset.de
 


Weitere Artikel

Bankkarten

Eine gehackte deutsche Zahlungskarte kostet 16 Euro im Dark Web

Eine neue Studie von NordVPN hat 31.000 deutsche Zahlungskarten analysiert, die im Dark Web verkauft werden. Laut dieser Untersuchung liegt der angebotene Durchschnittspreis einer deutschen Zahlungskarte bei 15 Euro und 79 Cent.
Spionage

DazzleSpy attackiert Besucher von pro-demokratischer Nachrichtenseite in Hongkong

Die Webseite des Radiosenders D100 in Hongkong wurde kompromittiert. Ein Safari-Exploit wird ausgeführt, der eine Spionagesoftware auf die Macs der Besucher des Nachrichtenportals installiert.
Mond Rot

MoonBounce: Gefährliches Rootkit schlummert in der Firmware

Sicherheitsforscher von Kaspersky haben ein kleines, aber gefährliches Rootkit gefunden, das vom Unified Extensible Firmware Interface (UEFI) eines Computers Malware nahezu ungestört verbreiten kann.
Software Supply Chain

Angriffe auf die Software-Lieferkette stellen ein großes Risiko dar – aber sie können verhindert werden

Immer häufiger werden Software-Lieferketten angegriffen. Dies stellt eine große Gefahr dar, weil dann auf einen Schlag viele Unternehmen weltweit betroffen sein können. Wie können Unternehmen sich gegen solche Angriffe schützen?
Cybercrime

Neue Malware DTPacker vereint Fähigkeiten zweier Formen von Schadsoftware

Die Sicherheitsexperten von Proofpoint haben kürzlich eine neue Malware identifiziert, die im Rahmen dutzender Kampagnen von verschiedenen cyberkriminellen Gruppen zum Einsatz gebracht wurde. Der neuentdeckten Malware gaben die Security-Forscher den Namen…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.