Suche AgendaMobileDigitale SchweizIT-SecurityKünstliche IntelligenzBildung & KarriereCloudSocial MediaInfrastrukturenTelekommunikationWirtschaft

Mac-Malware fischt nach Anmeldedaten

Di, 12. Juli 2016 - 20:34
IT-Security
thumb

Der slowakische Security-Software-Hersteller Eset mit Sitz in Bratislva hat eine neue Schadsoftware für Apple-Geräte entdeckt die versucht, ein permanentes Backdoor zu installieren und unbemerkt Anmeldedaten auszuspähen.

Die zweifelhafte Ehre, die hauptsächlich Linux und Windows Nutzern vorbehalten ist, trifft damit leider auch vermehrt Apple-User: Malware für den Mac findet immer häufiger Zugang zu Apple-Geräten. Eset analysierte in den vergangenen Wochen einen aktuell besonders interessanten Fall. Die als OS X/Keydnap bekannte Malware versucht, ein permanentes Backdoor zu installieren und unbemerkt Anmeldedaten von Nutzern auszuspähen.

Bisher ist gemäss Eset noch nicht klar, wie Opfer auf OS X/Keydnap hereinfallen. Verantwortlich dafür könnten Spam-Nachrichten, Downloads von nicht vertrauenswürdigen Quellen oder manipulierte E-Mail-Anhänge sein. Bislang bekannt ist, dass über eine .zip Datei ein Downloader verbreitet wird. Die Archivdatei enthält eine ausführende Mach-O-Datei mit einer Endung wie .txt oder .jpg, die Vertrauen erwecken soll. Allerdings enthalten die Dateiendungen zusätzlich ein Leerzeichen am Ende. Damit die Chance erhöht wird, dass der User auf die Dateien klickt, ahmen sie bekannte Icons nach. Einmal gestartet, öffnet sich das Terminal-Fenster und die böswillige Nutzlast wird ausgeführt.

Die Funktionsweise des Keydnap Downloaders ist gemäss Eset simpel:
- Er lädt ein Backdoor herunter und installiert es
- Der Inhalt der Mach-O-Datei wird durch einen Köder ersetzt – entweder eine eingebettete oder durch eine aus dem Internet heruntergeladene Datei
- Öffnen des Köder-Dokuments
- Schliessen des Terminal-Fensters, das kurz geöffnet wurde

Der Downloader ist nicht dauerhaft. Allerdings fügt das heruntergeladene Backdoor einen Eintrag in das Launch-Agents-Verzeichnis hinzu, um zukünftige Neustarts zu überleben. Das OS X/Keydnap Backdoor ist mit einem Mechanismus ausgestattet, der Passwörter und Schlüssel abfangen und auslesen kann, die in OS X Keychain gespeichert sind.

Zwar gibt es mehrere Sicherheitsmechanismen in OS X, die für Malware ein Hindernis darstellen. Dennoch ist es möglich, die Sandbox des Users zu umgehen und bösartigen Code einzuschleusen, indem im Prinzip einfach das Symbol einer Mach-O-Datei ersetzt wird.

Eine ausführliche Analyse der Malware hat Eset in seinem deutschsprachigen Blog veröffentlicht: www.welivesecurity.com/deutsch/2016/07/08/osx-keydnap-malware-entdeckt


Der Online-Stellenmarkt für ICT Professionals