Gefährliche Mac-Malware mit echtem Entwickler-Zertifikat im Umlauf

Florian Matthey
3

Aktuell macht eine Mac-Malware die Runde, die besonders perfide vorgeht: Nachdem der Benutzer auf einen Phishing-Trick reingefallen ist, gibt sie vor, ein macOS-Update zu sein. Danach liest sie die gesamte Kommunikation des Rechners aus.

48.757
MacBook Pro 2016: Touch Bar im Test

Vorsicht vor seltsamen E-Mails vom Finanzamt…

Check Point berichtet über die Malware, die offenbar vor allem in Europa – und dort auch im deutschsprachigen Raum – die Runde macht. Check Point nennt sie „OSX/Dok“, da sie sich in einer Datei „Dokument.zip“ tarnt. Den Anfang macht eine Phishing-E-Mail, die den Empfänger denken lassen soll, dass sie vom Finanzamt kommt. Zumindest eine deutschsprachige E-Mail, die von schweizerischen Behörden kommen soll, sieht allerdings nicht sonderlich vertrauenswürdig aus.

mac-malware-mai-2017-1

Neue Retina-Wallpaper für iPhone, iPad und Mac zum Download

Malware tarnt sich als macOS-Sicherheitsupdate

Wenn der Empfänger aber so gutgläubig ist, dass er die angehängte Zip-Datei entpackt und das enthaltene Bundle namens Truesteer.AppStore ausführt, nimmt das Unheil seinen Lauf. Die Malware installiert sich dann in dem Ordner /Benutzer/Geteilt und macht sich zu einem Anmeldeobjekt. Dem Benutzer wird allerdings nur eine Fehlermeldung angezeigt, der zufolge es sich um eine beschädigte Datei handelt, die sich nicht öffnen lässt. Das dürfte bei den meisten den Eindruck erwecken, dass auch nichts passiert ist.

Dann passiert zunächst einmal nichts. Nach einigen Neustarts erscheint dann jedoch eine Fehlermeldung, die das Mac-App-Store-Icon anzeigt und erklärt, dass ein Sicherheitsproblem aufgetaucht sei und der Benutzer ein macOS-Update installieren müsse. Bei unbedarften Benutzern könnte diese Meldung den Eindruck erwecken, dass sie tatsächlich von Apple stammt – zumal es sie in mehreren Sprachversionen gibt.

mac-malware-mai-2017-2

Apple kann Malware blockieren

Nach dem Klick auf „Update“ muss der Benutzer ein Passwort eingeben. Jetzt installiert sich die eigentliche Malware, die jetzt mit den Admin-Rechten des Benutzers arbeitet. Über die ebenfalls auf diesem Wege installierten Tools Tor und Socat sowie einem gefälschten Zertifikat verändert die Malware dann die Kommunikationseinstellungen des Betriebssystems, so dass sämtliche Verbindungen über einen Proxy-Server des Angreifers laufen. Über diesen „Man in the Middle“-Angriff kann die Software dem Benutzer dann auch gefälschte Webseiten anzeigen. Der Angreifer kann so an wichtige Daten wie Passwörter oder Kreditkartendaten kommen.

Dass sich die Software so einfach installieren lässt, liegt daran, dass sie ein echtes von Apple freigegebenes Entwicklerzertifikat verwendet: Die „Gatekeeper“-Funktion des macOS blockiert die Installation daher nicht, solange der Benutzer auch zertifizierte Apps erlaubt, die nicht aus dem Mac App Store stammen. Die Verwendung des Zertifikats bedeutet allerdings auch, dass Apple bald darauf reagieren und die Zertifizierung zurückziehen dürfte, so dass eine Installation ohne ein aktives Zulassen über die Sicherheits-Systemeinstellungen nicht mehr möglich sein wird. Möglicherweise hat Apple dies auch schon getan.

mac-malware-mai-2017-3

Bis dahin könnten aber durchaus einige Benutzer betroffen sein oder betroffen gewesen sein. Allgemein empfiehlt sich wie immer, mit Anhängen in E-Mails sehr vorsichtig umzugehen und allgemein unerwartete Zip-Dateien gar nicht zu öffnen. Wer sich Sorgen macht, dass er betroffen sein könnte, sollte in den Netzwerk-Systemeinstellungen überprüfen, ob die Kommunikation über einen Proxy-Server aktiviert ist.

Quelle: Check Point

Weitere Themen: APFS: Das neue Dateisystem deines iPhones und Macs, WWDC 2016: Liveticker zur Keynote (iOS 10, OS X) hier & jetzt, Apple WWDC, WWDC