Thought Leadership
Sicherheitsforscher von Jamf haben eine Variante des bekannten Atomic Stealer entdeckt. Die “Odyssey Stealer” getaufte Malware nutzt eine gültige Apple Developer ID, um Apples Sicherheitssysteme zu umgehen.
Das Threat-Labs-Team von Jamf hat eine Weiterentwicklung der Mac-Malware Atomic Stealer (AMOS) identifiziert. Die als “Odyssey Stealer” bezeichnete neue Variante hebt sich durch eine entscheidende Neuerung von ihren Vorgängern ab: Sie verfügt über eine legitime Code-Signatur mit einer Apple Developer ID. Dadurch kann die Schadsoftware die in macOS integrierten Schutzmaßnahmen wie Gatekeeper und XProtect erfolgreich umgehen.
Legitime Signatur als Schlüssel zum System
Die Verwendung einer gültigen Apple-Entwickler-Signatur stellt eine erhebliche Eskalation in der Bedrohungslandschaft dar. Während frühere Infostealer-Varianten von macOS-eigenen Sicherheitstools erkannt und blockiert wurden, erscheint Odyssey Stealer dem System als vertrauenswürdige Anwendung. Nach der Meldung durch Jamf hat Apple die entsprechenden Zertifikate bereits widerrufen.
Infostealer sind spezialisierte Malware-Programme, die darauf ausgelegt sind, sensible Informationen wie Zugangsdaten, Kreditkartennummern oder andere persönliche Daten aus kompromittierten Systemen zu extrahieren. Atomic Stealer hat sich als einer der verbreitetsten Vertreter dieser Kategorie etabliert, der gezielt Apple-Systeme ins Visier nimmt.
Verschleierung durch modulare Architektur
Odyssey Stealer unterscheidet sich nicht nur durch die Code-Signatur von seinen Vorgängern. Die Malware hat auch ihre Arbeitsweise grundlegend verändert: Statt alle schädlichen Komponenten in einer einzigen Datei zu bündeln, lädt sie ihre Nutzlasten dynamisch nach. Diese modulare Architektur erschwert die Erkennung erheblich.
Zusätzlich haben die Entwickler die Funktionsnamen innerhalb des Schadcodes stark verschleiert. Was bei früheren Versionen noch relativ leicht als bösartiger Code identifizierbar war, präsentiert sich nun als schwer durchschaubares Skript, das auf den ersten Blick harmlos wirkt.
Paradigmenwechsel in der Bedrohungslandschaft
Die Nutzung legitimer Entwickler-Zertifikate markiert einen wichtigen Wendepunkt in der Mac-Malware-Entwicklung. Sollte sich diese Taktik als erfolgreich erweisen, ist davon auszugehen, dass andere Cyberkriminelle diesen Ansatz übernehmen werden. Dies würde die Bedrohungslage für Mac-Nutzer erheblich verschärfen.
Für Anwender bedeutet dies, dass auch bei signierten Anwendungen Vorsicht geboten ist. Die Tatsache, dass eine Software eine gültige Entwickler-Signatur trägt, kann künftig nicht mehr als alleiniges Vertrauensmerkmal gelten.
Verhaltensbasierte Erkennung gewinnt an Bedeutung
Der Fall Odyssey Stealer unterstreicht die Grenzen statischer Erkennungsmethoden. Während diese weiterhin als erste Verteidigungslinie fungieren, zeigen die ausgeklügelten Verschleierungs- und Tarnmethoden moderner Malware die Notwendigkeit verhaltensbasierter Sicherheitslösungen auf.
Systeme, die das Verhalten von Anwendungen und Skripten in Echtzeit analysieren und dabei nach verdächtigen Aktivitätsmustern suchen, werden in Zukunft eine noch wichtigere Rolle spielen. Nur so lassen sich auch solche Bedrohungen identifizieren, die herkömmliche Signatur-basierte Erkennungsmethoden erfolgreich umgehen.
(lb/Jamf)
