MacOS-Malware

Diese zehn Malware-Typen zeigen das Bedrohungspotenzial von MacOS

Diese zehn Malware-Typen zeigen das Bedrohungspotenzial von MacOS

MacOS-Malware im 1. HJ 2019

MacOS hat nicht nur unter Apple-Anwendern den Ruf eines relativ angriffssicheren Betriebssystems. Seit jeher gilt MacOS als weit weniger anfällig für Malware und Cyberattacken als der Marktführer Windows. Tatsache ist jedoch, dass auch Mac-User nicht immun sind gegen Kompromittierungen oder gefährliche Infektionen: Allein in den ersten sechs Monaten des Jahres 2019 identifizierten die Security-Forscher von SentinelOne mindestens zehn verschiedene Arten von Malware, die speziell auf MacOS abzielen. Dabei zeigt sich die Tendenz, dass Cyberkriminelle die Mac-Plattform von Apple vermehrt fokussieren und auch immer häufiger Erfolg haben.

Mit folgenden zehn Malware-Ausbrüchen mussten sich MacOS-User im ersten Halbjahr 2019 befassen:

  1. OSX.DOK: Diese Schadsoftware installiert eine versteckte Version des Tor-Browsers und andere Hacking-Tools, die darauf ausgelegt sind, Benutzerdaten zu stehlen, den Datenverkehr zu erfassen und dabei so gut es geht, unentdeckt zu bleiben. Sie wird meist über eine Phishing-Kampagne verbreitet und ist in der Lage, den gesamten Internetverkehr zu lesen inklusive dem verschlüsselten Traffic. Die Malware schreibt mehrere Apple-Domainnamen in die lokale hosts-Datei, so dass Verbindungen zu diesen automatisch auf 127.0.0.0.1 umgeleitet werden. Sobald die Malware beginnt, den Datenverkehr des Benutzers zu erfassen, verbindet sie sich mit einem Server im Dark Net und beginnt mit der Exfiltration.

  2. CookieMiner: Das Fatale an diese Malware ist, dass sie gleichzeitig als Kryptominer und Backdoor eingesetzt werden kann. Bei der Infizierung des Gerätes installiert CookieMiner einen eigenen Monero-Kryptominer und eine Empyre-Hintertür. Sicherheitsforscher warnen, dass die Malware in der Lage ist, ausreichende Anmeldeinformationen zu stehlen, um Multifaktor-Authentifizierung zu verhindern, und den Hackern den Zugriff auf die Krypto-Wallets der Nutzer verschaffen kann.

  3. Lazarus-Malware: Lazarus ist bei weitem keine neue Schadsoftware, wohl aber eine anhaltende Bedrohung, die es Angreifern ermöglicht, die volle Kontrolle über ein Gerät zu erlangen. Dabei verwenden sie eine Hintertür, die mit einem Befehls- und Steuerungsserver verbunden ist, um das Gerät zu übernehmen.

  4. OSX.Pirrit: Pirrit ist ein Adware- und Browser-Hijacker, der Benutzer zu riskanten Websites umleitet, und darüber hinaus wohl auch in der Lage ist, die Nutzer auszuspionieren. SentinelOne fand diese Variante der Malware im letzten April und obwohl verwandten Samples, seit etwa zwei Jahren auf VirusTotal gelistet sind, wurde Pirrit von keiner der dortigen Reputationsmaschinen aufgenommen.

  5. OSX.Siggen: Hierbei handelt es sich um eine Malware, die über eine gefälschte WhatsApp-Nachricht bereitgestellt wird, die vorgibt, WhatsApp für Telefone und Computer anzubieten. Auf einem Mac führt dies dann zum ungewollten Herunterladen der Malware. Eine versteckte Backdoor ermöglicht es den Hackern schließlich, die Kontrolle über das Gerät zu übernehmen.

  6. OSX.Loudminer: Diese 2,5 GB große Malware verbreitet sich in der Regel durch Downloads von "geknackter" Audiosoftware wie zum Beispiel Ableton Live. Ziel ist es, den Computer eines Benutzers zu übernehmen, um Kryptowährungen zu schöpfen. Dabei fokussieren die Hacker gezielt virtuelle Studio-Software und andere prozessorintensive Anwendungen, um ihre Kryptomining-Aktivitäten zu maskieren.

  7. KeyStealDaemon: Diese Malware profitiert von einer mittlerweile gepachten Sicherheitslücke und kann sensible Passörter abgreifen. Benutzer, die ihr aktuelles MacOS-Update nicht gemacht haben oder Nutzer, die MacOS 10.11 El Capitan oder frühere Versionen verwenden, sind indes immer noch gefährdet.

  8. OSX/Linker: Bereits im Februar haben Forscher Apple diesen gefährlichen Zero-Day-Bypass gemeldet, dennoch blieb der entsprechende Patch bis Mai 2019 aus. Linker wird über gefälschte Adobe Flash Player-Installer bereitgestellt und ermöglicht es einem Angreifer, ein Remote-Programm auf dem Rechner des Opfers auszuführen, wenn das Opfer ein bösartiges Disk-Image installiert.

  9. OSX-Mokes und OSX.Netwire/Wirenet: Diese Schadsoftwarevarianten imitieren legitime Applikationen und nutzen Namen wie ‚Dropbox‘, ‚Chrome‘ und ‚Firefox‘, um eine Erkennung zu vermeiden. Vor allem MacOS-Benutzer, die ungepatchte Versionen von Firefox ausführen oder mit Mokes.B oder Netwire.A infiziert sind, sind besonders gefährdet. Über eine Backdoor können Angreifer Screenshots aufnehmen, Tastenanschläge aufzeichnen oder Benutzerdaten exfiltrieren.

  10. OSX/CrescentCore: Bei CrecentCore handelt es sich um einen neuartigen Dropper, der versucht, Downloads und Browsersuchen auf einem infizierten Computer durch Scareware, Bloatware und Search Hijack-Software zu monetarisieren. Die Vielzahl der PUP- und Adware-Installationen beeinträchtigt dabei nicht nur die Leistung des Computers und kann sogar zum kompletten Ausfall führen, die Nutzer werden auch durch unerwünschte Browserseiten, unzählige Popups und gefälschte Virenwarnungen belästigt.

MacOS-Nutzer, die weiterhin denken, ihr Betriebssystem sei vor Cyberangriffen relativ sicher, und Security-Updates oder zusätzliche Sicherheitsmaßnahmen vernachlässigen, setzen sich hohen Gefahren aus. Da der Schutz durch das Betriebssystem selbst relativ schwach ist, sollten gerade Unternehmen, die Apple-PCs im Einsatz haben, darauf achten, Endpoint Security-Lösungen im Einsatz zu haben, die auch MacOS-Geräte abdecken. Denn Angreifer haben ein Gespür für das schwächste Glied der Kette.

Weitere Informationen zur aktuellen MacOS-Malware finden Sie im SentinelOne-Blog MacOS Malware Outbreaks 2019 .

Über SentinelOne

SentinelOne ist ein Pionier für autonomen Endpunktschutz und vereint die Prävention, Identifikation, Abwehr und Reaktion auf Angriffe jeglicher Art in einem einzigen Agenten. Dank dem Einsatz von künstlicher Intelligenz können Bedrohungen sowohl on-premises als auch in Cloud-Umgebungen automatisch und in Echtzeit eliminiert werden. Dabei ist die SentinelOne-Plattform ausgesprochen bedienerfreundlich und bietet eine herausragende Sichtbarkeit über alle kritischen Netzwerkvorgänge. Distributor in Deutschland, Österreich und der Schweiz ist Exclusive Networks.