SabPub: Weiterer Trojaner für OS X in freier Wildbahn entdeckt

Holger Eilhard
14

Nachdem Apple in den vergangenen Tagen mehrfach Updates für eine Sicherheitslücke in Java veröffentlicht hatte, ist nun von Kaspersky Labs ein weiterer Trojaner gesichtet worden, der Rechner mit OS X unter Kontrolle nimmt.

SabPub: Weiterer Trojaner für OS X in freier Wildbahn entdeckt

Laut einem Bericht von Kasperskys Costin Raiu auf Securelist (via The Register), erhält der Trojaner nach der Installation seine Befehle von einem Server in Kalifornien, der den kostenlosen DNS-Dienst von onedumb.com nutzt. Am 15. April veröffentlichte Raiu noch ein Update mit aktuellen Erkenntnissen.

Um sich vor den Virenschutzprogrammen zu tarnen, verwendeten die Entwickler Zelix KlassMaster zur Verschleierung des Codes. Den Angaben von Raiu zufolge gibt es Hinweise, dass der Trojaner bereits Mitte März erstellt wurde. Eine andere Variante könnte bereits seit Februar im Umlauf gewesen sein.

Dem Bericht zufolge wurden die Ziele genau ausgesucht. Die Angriffe sollen via Mail stattgefunden haben, in denen auf zwei Webseiten verlinkt wurde: Eine in den USA und eine in Deutschland.

Bestandteil der Verbreitung waren sechs Word-Dokumente, die die in CVE-2009-0563 beschriebene Sicherheitslücke in Microsoft Office und Word ausnutzten, um SabPub und den MaControl-Bot auf den angepeilten Systemen zu installieren.

Der Dateiname, “10th March Statemnet” (inklusive Tippfehler und ohne Dateierweiterung), eines der Dokumente deutet daraufhin, dass es eine Verbindung zwischen Tibet und den Entwicklern des Trojaners gibt. Der 10. März ist der Jahrestag des tibetischen Volksaufstandes von 1959.

Anfang April wurde bekannt, dass der Flashback-Trojaner mehr als 600.000 Macs infiziert haben soll.

Neue Artikel von GIGA APPLE

GIGA Marktplatz