Mac-Malware: Spur von Mac Defender führt nach Russland - neue Malware tarnt sich als Flash Player

Florian Matthey
23

Im Mai sorgte die Malware Mac Defender für Aufsehen: Nicht wenige Mac-Benutzer sollen die vermeintliche Anti-Virus-Software installiert und sich für Hilfe an Apples Support gewandt haben. Apple reagierte seinerzeit mit Sicherheitsupdates. Dann verschwand die Malware von der Bildfläche. Offenbar ging dem eine Razzia bei den Betreibern einer russischen Bezahl-Website voraus. Derweil ist eine weitere Mac-Malware aufgetaucht.

Mac Defender: Jähes Ende nach Razzia in Russland

Wer eine von den Machern von Mac Defender präparierte Website aufrief, erhält eine Warnung im Browser, dass der Mac mit Viren infiziert sei. Daraufhin lädt sich das Installationsprogramm des Mac Defender herunter, den der Benutzer dann erst einmal manuell installieren muss. Nach der Installation benimmt sich der Mac dann so, als seien tatsächlich Viren installiert – Mac Defender lässt den Browser in unregelmäßigen Abständen Schmuddel-Websites besuchen und zeigt dem Benutzer erneut Warnungen vor Viren an.

Um diese zu entfernen, sollen die Benutzer dann ihre Kreditkartennummer eingeben, um eine Lizenz für die vermeintliche Anti-Viren-Software zu erwerben. In Wirklichkeit waren allerdings nie Viren auf dem System vorhanden, ein Entfernen des Mac Defender macht dem Spuk ein Ende. Seit der Veröffentlichung von Mac OS X 10.6.8 übernimmt das Betriebssystem das Löschen der Malware, auch OS X Lion erkennt und entfernt den Mac Defender.

Mit Mac OS X 10.6.8 installierte Apple ein Malware-Warnsystem, das sich automatisch Updates zu neuen Varianten des Mac Defender und potentiell anderer Malware besorgt. Letztendlich muss Apple sich so auf ein Katz-und-Maus-Spiel mit den Malware-Entwicklern einlassen: Die Angreifer erstellen immer neue Versionen ihrer Software, auf die Apple so schnell wie möglich reagieren muss.

Nach einigen Mac-Defender-Varianten wurde es aber still um die Malware. Brian Krebs, der den Sicherheits-Blog KrebsonSecurity betreibt, glaubt die Antwort zu kennen: Schon im Mai äußerte er die Vermutung, dass Mitarbeiter der russischen Bezahl-Website ChronoPay hinter der Verbreitung des Mac Defender stecken. ChronoPay dementierte umgehend. Am 23. Juni nahm jedoch die russische Polizei den Mitgründer von ChronoPay fest und stellte bei einer Razzia Beweismaterial in den Büros des Unternehmens sicher. Kurz vorher war die letzte Mac-Defender-Variante erschienen. Laut Krebs haben die russischen Behörden tatsächlich Hinweise für die Verbreitung der Malware durch ChronoPay gefunden.

Neue Mac-Malware tarnt sich als Adobe Flash Player

Derweil gibt es eine neue Mac-Malware, die sich als Adobes Software Flash Player tarnt: Das Installationsprogramm des Trojaners installiert nicht wirklich Flash. Stattdessen manipuliert es die “hosts”-Datei im Verzeichnis “Macintosh HD/private/etc” und verändert so die DNS-Abfrage des Betriebssystems. Wer dann bestimmte Länder-Websites von Google aufruft, sieht eine Seite, die der echten Suchmaschine sehr ähnlich sieht. Offenbar sind vor allem asiatische Websites wie google.com.tw betroffen.

Wer dann eine Suchanfrage eingibt, sieht zwar Suchergebnisse von Google. Das Anklicken dieser Websites öffnet dann ein Pop-Up-Fenster – in dem aktuell nichts zu sehen sein soll, da offenbar der Server der Malware-Entwickler nicht erreichbar ist. Die Entwickler scheinen sich allerdings eine Infrastruktur zu schaffen, mit der sie potentiell Schaden anrichten können.

Auch, wenn sich die Malware in erster Linie an asiatische Mac-Benutzer zu wenden scheint, ist Vorsicht geboten: Den Flash Player sollten Benutzer – ebenso wie alle andere Software – nur dann installieren, wenn sie vorher auch überprüft haben, dass die Software tatsächlich von der Website des jeweiligen Entwicklers stammt.

Weitere Themen: Malware, flash, Flash Player 64-Bit Download, Adobe

Neue Artikel von GIGA SOFTWARE

GIGA Marktplatz