Fruitfly: macOS-Malware blieb anscheinend jahrelang unentdeckt

Holger Eilhard

Die von Apple als „Fruitfly“ bezeichnete Malware wurde primär in biomedizinischen Forschungszentren gefunden und verwendet mitunter sehr alten Code als Basis.

Fruitfly: macOS-Malware blieb anscheinend jahrelang unentdeckt

Die Forscher von Malwarebytes haben die Schadsoftware für macOS den Namen OSX.Backdoor.Quimitchin gegeben. Die beobachtete Malware besteht aus nur zwei Dateien: der Malware in Form eines Perl-Skripts und einem Launch Agent, welcher dafür sorgt, dass Erstere dauerhaft im Hintergrund aktiv ist.

Die Malware nimmt nach dem Start Verbindung zu einem zentralen Server auf, über den sie ferngesteuert werden kann. Gleichzeitig nimmt sie Bildschirmfotos auf und loggt die aktuelle Laufzeit des infizierten Mac. In dem Perl-Skript ist des Weiteren eine ausführbare Datei enthalten, die ebenfalls Bildschirmfotos macht und auf die Webcam zugreift.

Die Methoden, die diese Datei dafür verwendet sind älter als OS X selbst. Gleichzeitig nutzt die Malware eine ebenfalls beiliegende libjpg-Bibliothek, die zuletzt im Jahr 1998 aktualisiert wurde.

Aber auch Java ist mit an Bord und bietet für die Angreifer eine rudimentäre Möglichkeit den infizierten Mac fernzusteuern in dem es unter anderem die Position des Mauszeigers erkennen und ändern kann. Ein Klicken der Maustasten und Simulieren von Tastendrücken ist ebenfalls vorgesehen.

Nach der Infektion haben die Forscher einen Download einiger weiterer Dateien von dem Server beobachtet. Diese dienen dazu das lokale Netzwerk zu scannen und Kontakt mit weiteren etwaigen Zielen aufzunehmen.

Die Malware beinhaltet viele Teile, die ohne Anpassung auch unter Linux lauffähig sind. Die Forscher halten es daher für möglich, dass es sich bei Fruitfly um eine macOS-Variante einer Linux-Malware handelt.

Bilderstrecke starten
16 Bilder
Von Mac OS X, über OS X hin zu macOS: Die ganze Geschichte des Mac-Systems in 15 Bildern.

Geringe Verbreitung über mehrere Jahre

Die Malware wurde bislang nur auf wenigen Systemen in biomedizinischen Forschungseinrichtungen gefunden. Hinweise auf diesen Systemen gehen zurück bis ins Jahr 2015. Im Code wurden des Weiteren Anpassungen für OS X Yosemite gefunden, welches im Oktober 2014 vorgestellt wurde.

Wie die Systeme infiziert wurden ist bislang unklar und auch über die Angreifer kann nur spekuliert werden. Malwarebytes schreibt, dass man in den vergangenen Jahren mehrere Berichte gesehen hat, in denen chinesische und russische Hacker gezielt Forschungseinrichtungen in Europa und den USA anvisiert haben.

Die triviale Funktionsweise macht ein Entfernen einfach. Apple hat bereits reagiert und ein Update veröffentlicht, dass automatisch installiert wird und gegen zukünftige Infektionen schützt.

Quelle: Malwarebytes

MacBook Pro (2016) bei Apple *

Test: MacBook Pro 13 Zoll von 2016.

Zu den Kommentaren

Kommentare zu dieser News

* gesponsorter Link