Logo von Mac & i

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.856.553 Produkten

Leo Becker 16

Apple blockiert signierte Mac-Backdoor

Apple blockiert signierte Mac-Backdoor

Neue Mac-Malware, uralter Trick: Sie tarnt sich als Flash-Update.

Bild: Screenshot: Volexity

Als Flash-Player-Update getarnt versucht die mit einem Apple-Entwicker-Zertifikat signierte Mac-Malware, den Nutzer zur freiwilligen Installation zu bringen. macOS soll ein Ausführen des Schädlings nun verhindern.

Apple hat die in macOS integrierte Malware-Datenbank XProtect aktualisiert: Das Betriebssystem soll nun Alarm schlagen, wenn Nutzer einen “OSX.Leverage.A” genannten Schädling öffnen wollen. Der Trojaner wurde bestimmten Besuchern einer georgischen Webseite als vorgebliches Update für Adobes Flash-Player angeboten, wie die Sicherheitsfirma Volexity berichtet.

Die Angreifer setzten der Analyse zufolge zusätzlich auf eine spezifische Safari-Funktion, um die ausgelieferte .zip-Datei direkt nach dem Download zu öffnen – der Nutzer muss dafür aber erst einen automatisch erscheinenden Hinweis-Dialog bestätigen, dass er das aus dem Internet geladene Programm tatsächlich starten möchte.

Die Malware war durch ein Apple-Entwicklerzertifikat signiert, merken die Sicherheitsforscher an. Apples Schutzfunktion Gatekeeper würde bei der anschließenden Installation deshalb nicht Alarm schlagen – bis Apple das Zertifikat zurückzieht. Der Einsatz von Entwicklerzertifikaten für Malware scheint zunehmend beliebt, sie sind durch Abschluss einer Mitgliedschaft in Apples Entwicklerprogramm erhältlich, die 100 Dollar pro Jahr kosten. Kriminelle würden in kurzer Zeit zahlreiche neue Mitgliedschaften abschließen, um ihre Malware mit den Zertifikaten zu signieren.

Bei OSX.Leverage.A handelt es sich um die Variante eines schon 2013 gesichteten Trojaners, der sich damals als Bild-Datei ausgab und nach der Installation unter anderem ein Logo der Hacker-Gruppe Syrian Electronic Army auf den Mac lud, wie die Sicherheitsfirma Intego anmerkt.

Die neue Ausführung der Malware richte eine Hintertür ein und versuche, Kontakt zu einem Command- and Control-Server aufzunehmen. Sie räumt dem Angreifer auf dem infizierten Mac “unbegrenzte Funktionen auf Kommandozeilenebene” ein, so Volexity.

Mehr zum Thema:

Anzeige

16 Kommentare

Themen:

Anzeige
Anzeige