Skip to content

Macs im Visier

Mac OS X wird immer beliebter. Auch bei den Cyberkriminellen. Und dann gibt es da wohl auch noch mindestens einen Staat, der es auf Mac-Benutzer abgesehen hat. Aber fangen wir mit den normalen Cyberkriminellen an.

Flashback - Erstinfektion ohne Benutzerinteraktion

Inzwischen gibt es mindestens einen ernst zu nehmenden Mac-Schädling "in the wild": Der Trojaner "Flashback" nutzt inzwischen zwei Schwachstellen in Java aus, um sich in Mac-OS-X-Rechnern einzuschleusen. Schlägt das Einschleusen fehl, weil die Java-Installation auf dem aktuellen Stand ist und die Schwachstellen daher nicht vorhanden sind, versucht es der Trojaner mit einem Social-Engineering-Trick: Er gibt sich als angeblich von Apple signiertes Java-Applet aus, dass installiert werden muss.

Flashback selbst ist schon älter, die bisherigen Varianten (A, B) tarnten sich jedoch als Flash-Player-Installer und ließen sich dann von arglosen Benutzern installieren. Die aktuelle Variante schleust erst mehr oder weniger heimlich ihren Startcode ein (entweder über die Java-Schwachstellen oder über den Social-Engineering-Trick), der dann versucht, per Social Engineering die Erlaubnis zur Installation weiteren Codes zu erhalten. Dabei gibt sich der Schadcode als "Software Update" aus. Je nachdem, ob der Benutzer das Administrator-Passwort eingibt oder nicht, wird der weitere Schadcode dann entweder direkt in Safari oder als Shared Library installiert. Da die Anforderung des Administrator-Passwort aus Benutzersicht anscheinend von einem regulären Update ausgeht und kein Zusammenhang mit einem Download besteht, dürften viele Benutzer arglos das Administrator-Passwort eingeben.

Ist der eigentliche Schadcode installiert, dient er zum Ausspähen von Zugangsdaten und der Manipulation von angezeigten Webseiten.

Während die aktuelle Flashback-Variante nur ihren Startcode ohne Interaktion des Benutzers einschleusen kann, sind andere Schadcode-Entwickler schon weiter und kommen ganz ohne Benutzerinteraktion aus:

Chinas Angriffe auf Mac-Benutzer

Chinas Spionage-Netzwerk GhostNet wurde 2009 entdeckt, als entsprechende Schädlinge auf Rechnern der tibetanischen Exilregierung gefunden wurden. Ausspioniert wurden vor allem Regierungsstellen, Unternehmen und Forschungseinrichtungen in Indien, das Büro des Dalai Lama und die Vereinten Nationen.

Die Entdeckung hat dem GhostNet nicht weiter geschadet, es ist immer noch aktiv, und jetzt gibt es Berichte über eine neue Mac-Backdoor, die eine Java-Schwachstelle ausnutzt, um sich ohne Interaktion des Benutzers auf den angegriffenen Rechnern zu installieren. Die angegriffenen Rechner werden vermutlich in GhostNet eingebunden.

Ziel der Angriffe sind u.A. Nicht-Regierungsorganisationen (Non-Governmental Organizations, NGO) mit Verbindungen zu Tibet (und da sage noch mal einer, Geschichte wiederholt sich nicht!). Übrigens dient als ein Köder für die NGOs eine E-Mail mit einer Warnung vor genau dem Angriff, dem der Mailempfänger zum Opfer fallen soll. Ist das nun geschickt oder nicht? Auf jeden Fall ist es dreist.

Außer Macs werden auch Windows-Systeme angegriffen. Aber das ist ja nun wirklich nichts Neues.

Ach so: Die Frage, ob die Angriffe nun von China ausgehen oder nicht und ob die chinesische Regierung dafür verantwortlich ist oder nicht, wird sich wie immer nicht endgültig klären lassen. Auf das Problem, dass man Cyber-Angriffe nie mit letzter Sicherheit zum eigentlichen Angreifer zurück verfolgen kann, bin ich ja schon mindestens zwei mal eingegangen.

Während manche Cyberkriminelle also schon ganz oder fast ohne Benutzerinteraktion auskommen, setzen andere weiterhin auf Social Engineering und den altbekannten Grundsatz "Sex sells":

Sexy Fotos mit .app-Endung

Die aktuelle Version des Trojaners "Imuler" tarnt sich als ZIP-Archiv mit Bildern, von denen eins dann aber kein Bild sondern ein Programm ist. Da der Mac in der Default-Einstellung keine Dateiendungen anzeigt und das Programm als Icon ein passendes Bild enthält, werden die meisten Benutzer den Trojaner als Bild ansehen und öffnen. Das dann das Programm startet und u.a. ein passendes Bild erzeugt und anzeigt, wird den wenigsten Opfern auffallen. Die Schadfunktionen bestehen in einer Backdoor und dem Ausspähen vertraulicher Informationen.

Eine wichtige Information fehlt dabei aber in allen Berichten über die aktuelle Version, sowohl bei den schon oben verlinkten Berichten von Intego und Sophos als auch bei F-Secure und ESET: Normalerweise warnt Mac OS X den Benutzer beim ersten Start eines aus dem Internet geladenen Programms (und in manchen Fällen auch bei jedem späteren Start, Mac OS X enthält auch immer mehr nervende Fehler). Wieso das in diesem Fall nicht passiert, wird leider nicht verraten und ist mir ein Rätsel.

Fazit

Flashback ist nur noch einen kleinen Schritt davon entfernt, zu einer echten Drive-by-Infektion zu werden, es muss nur noch die Frage nach Administrator-Rechten nach der ersten Infektion entfernt werden, um ein System unerkannt zu infizieren. Bei der GhostNet-Backdoor handelt es sich schon um eine echte Drive-by-Infektion, der Benutzer muss nur auf eine präparierte Seite gelockt werden, um seinen Rechner zu infizieren.

Es wird also nicht mehr lange dauern, bis auch Macs unbemerkt vom Benutzer und ohne dessen Zutun beim Besuch einer eigentlich harmlosen, aber z.B. nach einer Kompromittierung für Drive-by-Infektionen präparierten Website mit Schadsoftware infiziert werden.

Bis es soweit ist, setzen die Cyberkriminellen weiter auf die ebenso altbekannten wie altbewährten Social-Engineering-Tricks, z.B. als Bild getarnte Programme oder angebliche Flash-Player-Installer. Wobei der Trick mit dem als Bild getarnten Programm eigentlich an der Mac-OS-X-Warnung

"sexy-bild.app" ist ein Programm, das aus dem Internet geladen wurde. Möchten Sie es wirklich öffnen?

Safari hat die Datei am ... geladen

scheitern müsste, wenn der Benutzer seine Sinne beisammen hat. Beim gerade herunter geladenen Flash-Player-Installer erwartet der Benutzer die Warnung ja, bei einem Bild ist sie aber eindeutig ein Hinweis darauf, dass etwas nicht stimmt.

Wenn Sie also einen Mac benutzen: Seien Sie vorsichtig. Die Cyberkriminellen wollen alle nur Ihr Bestes. Z.B. ihre Daten oder ihr Geld.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Das Flashback-Botnet und Apples Langsamkeit

Vorschau anzeigen
Der Mac wird bei den Cyberkriminellen immer beliebter, und inzwischen haben sie ca. 1% aller Macs in einem Botnet versammelt. Wirklich? Und was macht Apple dagegen? Das Flashback-Botnet - 550.000, 600.000, wer bietet mehr? Es gibt ein r

Dipl.-Inform. Carsten Eilers am : "Für den Mac gibt es keine Viren"? - Weg mit den Mythen!

Vorschau anzeigen
Es ist an der Zeit, mal mit einige Mythen rund um den Mac, Schadsoftware und das Flashback-Botnet aufzuräumen. Wenn man sich die verschiedenen Mac-Foren ansieht, liest man immer wieder die gleichen, falschen Aussagen. Da ich weder Lust noch Zei

Dipl.-Inform. Carsten Eilers am : Macs und Schadsoftware, in allen möglichen Varianten

Vorschau anzeigen
Heute gibt es mal wieder ein Sammelsurium an Kommentaren zu verschiedenen Themen, die aber alle eins miteinander verbindet: Sie haben etwas mit Schadsoftware auf dem Mac zu tun, zumindest indirekt. Windows-Schädlinge auf Macs Sophos b

www.ceilers-news.de am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

Dipl.-Inform. Carsten Eilers am : Gezielte Angriffe und Advanced Persistent Threats

Vorschau anzeigen
Die "Operation Aurora", Stuxnet und der Angriff auf RSA sind die bekanntesten Advanced Persistent Threats, es gibt aber eine Reihe weiterer gezielter Angriffe, die zumindest teilweise als APT eingestuft werden können. Diese Angriffe bewe

Dipl.-Inform. Carsten Eilers am : Advanced Persistent Threats gegen tibetische Aktivisten und mehr

Vorschau anzeigen
Zum Abschluss des Themas Advanced Persistent Threats gibt es in dieser Folge noch ein paar Informationen, die in die anderen Texte nicht passten oder nach deren Veröffentlichung erschienen sind. Als Beispiel dafür, dass nicht nur Unterneh

Dipl.-Inform. Carsten Eilers am : Angriffe auf mTAN, tibetische Aktivisten, Windows 8 und mehr

Vorschau anzeigen
In der letzten Woche hatte ich des öfteren den Eindruck eines Deja Vu. Oder um es mit Bernd dem Brot zu sagen: Alles ist wie immer, bloss schlimmer. Angriffe auf mTANs Die Berliner Polizei warnt vor Angriffen auf das mTAN-Verfahren.

Dipl.-Inform. Carsten Eilers am : Kommentare zu PostgreSQL, Ad-Blockern, AT&T Passwortregeln und mehr

Vorschau anzeigen
Die Themen heute: PostgreSQL ergreift vor der Veröffentlichung eines Sicherheitsupdates eine zweifelhafte Schutzmaßnahme, Ad-Blocker können vor Drive-by-Infektionen schützen, und AT&T verwendet unsichere Passwortregeln. Au&s

Dipl.-Inform. Carsten Eilers am : Es ist da: Mein Buch "iOS Security - Sichere Apps für iPhone und iPad"

Vorschau anzeigen
Ich habe gestern die Belegexemplare meines neuen Buchs "iOS Security - Sichere Apps für iPhone und iPad" bekommen, ab sofort ist es auch im Buchhandel erhältlich (sowohl gedruckt als auch als eBook). Den Inhalt kenne ich ja schon etwas l&

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt
Formular-Optionen

Kommentare werden erst nach redaktioneller Prüfung freigeschaltet!