Logo von Mac & i

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.735.556 Produkten

Leo Becker 17

Mughthesec: Signierte Mac-Malware im Umlauf

Mac-Adware

Bild: Screenshot: Patrick Wardle

Mit einem Apple-Entwicklerzertifikat wiegt der Schädling die in macOS integrierte Schutzfunktion in Sicherheit und spielt mehrere Adware-Tools ein, die unter anderem den Browser manipulieren.

Die auf Mac-Nutzer abzielende Schadsoftware “Mughthesec” wird bislang nicht von Antiviren-Tools erkannt – und ist durch ein Apple-Entwicklerzertifikat signiert, das zum Zeitpunkt der Analyse noch aktiv war, wie der Sicherheitsforscher Patrick Wardle ausführt. Die Signatur sorgt dafür, dass die in macOS integrierte Schutzfunktion Gatekeeper bei der Installation der Malware nicht anschlägt – Apple zieht die Zertifikate, die in jüngster Zeit wieder verstärkt für den Vertrieb von Schad-Software zum Einsatz zu kommen scheinen, gewöhnlich relativ schnell zurück. Wardle hat ein Sample des Schädlings von einem betroffenen Nutzer erhalten und näher studiert.

Anzeige

Mugthesec bedient sich eines gängigen Weges, um Nutzer zur freiwilligen Installation zu locken: Die Malware tarnt sich als Flash-Player, der tatsächlich mit ausgeliefert wird. Der Installer weist sogar darauf hin, dass mehrere Adware-Tools eingespielt werden, merkt Wardle an – das dürften viele Nutzer aber überlesen. Klickt man auf “Weiter” landet “Advanced Mac Cleaner”, Safe Finder und Booking.com auf dem Mac. Advanced Mac Cleaner gaukelt verschiedene Probleme vor, die sich durch den Kauf der Software lösen lassen sollen.

Mit Safe Finder wird zudem der Browser manipuliert, führt der Sicherheitsforscher weiter aus: Mughthesec setzt eine neue Homepage und manipuliert Suchergebnisse mit eigenen Affiliate-Links. Derzeit scheint nur Apples vorinstallierter Browser Safari davon betroffen, dort wird auch eine Extension installiert.

Die Mac-Malware sei nicht sonderlich ausgeklügelt, betont Wardle, doch setzt sie auf eine Signatur, wurde noch nicht von AV-Software erkannt – und infiziert aktiv Mac-Nutzer. Es handele sich dabei wohl um eine neue Variante bereits bekannter Adware, die als SafeFinder/OperatorMac geführt wird.

Betroffene Nutzer können Mugthesec zwar manuell entfernen, wie Wardle anmerkt, doch könnte der Installer auch andere Malware einspielen – am besten sei deshalb wohl eine Neuinstallation von macOS.

Lesen Sie auch:

(lbe)
Anzeige

17 Kommentare

Themen:

Anzeige
  1. Spionage-Malware Fruitfly blieb über Jahre auf Macs unentdeckt

    OS X Yosemite

    Obwohl die Mac-Malware offenbar schon seit langem aktiv ist, wurde diese erst jüngst in zwei Varianten entdeckt. Der Schädling kann die integrierte Webcam aktivieren, Tastatureingaben mitlesen und Screenshots anfertigen.

  2. "Shlayer": Neue Mac-Malware setzt auf alte Tricks

    "Shlayer": Neue Mac-Malware setzt auf alte Tricks

    Der mit Apple-Entwicklerzertifikaten signierte Schädling tarnt sich als Updater für Adobe Flash und soll nach der Installation Adware auf dem Mac des Nutzers einschleusen.

  3. "Kompromittierte Schlüssel": Apple vermerkt 1,1 Millionen widerrufene Zertifikate

    "Kompromittierte Schlüssel": Apple vermerkt 1,1 Millionen widerrufene Zertifikate

    Apples Sperrliste für Entwicklerzertifikate ist inzwischen über 45 MByte groß. Mac-Malware kommt gerne signiert, um das in macOS integrierte Schutzsystem Gatekeeper in Sicherheit zu wiegen.

  4. Apple blockiert signierte Mac-Backdoor

    Apple blockiert signierte Mac-Backdoor

    Als Flash-Player-Update getarnt versucht die mit einem Apple-Entwicker-Zertifikat signierte Mac-Malware, den Nutzer zur freiwilligen Installation zu bringen. macOS soll ein Ausführen des Schädlings nun verhindern.

  1. Interview: Wie sicher sind iOS und macOS vor Angriffen?

    An der Tastatur

    Die Windows-Welt erlebt mit „WannaCry“ & Co. massive Malware-Wellen. Doch auch die Angriffe auf den Mac nehmen zu. Im Mac & i-Gespräch erklärt der renommierte Sicherheitsforscher Patrick Wardle, was Nutzern blühen könnte, wenn Apple nicht reagiert.

  2. Die Systemprozesse von macOS Sierra

    In der Hintergrundreihe „macOS intern“ blickt Mac & i seit Heft 1/2017 hinter die Kulissen von Apples Desktop-Betriebssystem. Begleitend zum dritten Teil haben wir eine umfangreiche Liste vieler Systemprozesse von macOS 10.12 samt ihrer Bedeutung zusammengetragen.

  3. Pro & Contra: Tut Apple genug für die Sicherheit?

    In letzter Zeit häufen sich Berichte über Sicherheitslücken bei macOS und iOS. Reicht Apples Engagement, um seine Systeme sicher zu halten?

  1. Wiener Motorensymposium: Volkswagen hybridisiert den Golf VIII

    alternative Antriebe, Elektroautos

    Volkswagen elektrifiziert die Massen: Auf dem Wiener Motorensymposium konkretisieren die Wolfsburger Ingenieure, wie sie sich die flächendeckende Hybridisierung des Golfs vorstellen. Erstmals erwähnt Volkswagen offiziell den Golf VIII, der 2019 eingeführt werden soll

  2. 180-Euro-Smartphone Honor 7C nun auch in Deutschland

    Einsteiger-Smartphone Honor 7C kommt für 180 Euro nach Deutschland

    Das Honor 7C kann jetzt auch in Deutschland gekauft werden. Zum Marktstart kostet das Smartphone der Huawei-Tochter 180 Euro. Dafür bekommt man kompetente Hardware, die allen gängigen Anwendungen gewachsen sein sollte.

  3. Astronomen verblüfft über Megafusion großer Galaxien

    Astronomen verblüfft über Megafusion großer Galaxien

    Gleich zwei Mal haben Forscher gewaltige Galaxienhaufen aufgespürt – weit zurück im jungen Universum. Dass sie zu jener Zeit schon zu Haufen verschmolzen, lässt die Astronomen rätseln. Beeindruckend ist noch eine andere Eigenheit der Massemonster.

  4. Außenminister Maas und der politische Prozess zur Ablösung Baschar al-Assads

    Syrien: Wiederaufbauhilfen aus dem Westen, um das "Regime mit dem Monster" auszuhebeln? Das politische Interesse ist klar, der moralische Grund trüb

Anzeige