Gefährliche PDFs und Flash-Updates für Mac OS X
Das Cyberkriminelle entsprechend präparierte PDF-Dateien für Angriffe nutzen ist ebenso alltäglich wie die Tatsache, dass der Flash-Player eigentlich kein Programm, sondern eine Sammlung von Schwachstellen ist. Das gilt prinzipiell auch für den Mac, wenn auch bisher meist Windows-Systeme angegriffen wurden. Und jetzt? Jetzt kommen die Cyberkriminellen auf die geniale Idee, und nutzen
PDF als Tarnung für Mac-Trojaner
Also wirklich, auffälliger ging's wohl nicht mehr? Das man PDF-Dateien aus nicht vertrauenswürdigen Quellen besser gar nicht öffnet und bei unverlangt von bekannten Absendern zugeschickten PDF-Dateien zumindest nachfragt sollte sich auch bis zu Mac-Nutzern rumgesprochen haben. Und was machen die Cyberkriminellen? Von den tausenden möglichen Dateitypen, die sie vortäuschen könnten, verwenden sie ausgerechnet ein PDF als Tarnung für einen Trojaner. Etwas noch auffälligeres haben sie wohl nicht gefunden?
Aber werfen wir mal einen Blick auf die Fakten. Genauer: Auf die
PDF-Datei,
die gar keine PDF-Datei ist. Auf den ersten Blick handelt es sich um ein
PDF in chinesischer Sprache, genauer: Einen Artikel über den Streit
zwischen China und Japan, wem denn nun die Diaoyu-/Senkaku-Inseln gehören.
Beim Öffnen der Datei wird auch tatsächlich ein entsprechender Artikel
angezeigt. Im Hintergrund wird aber versucht, eine Hintertür zu
installieren. Der Trick ist auf Windows-Systemen uralt, da versuchen
die Cyberkriminellen schon seit einer gefühlten halben Ewigkeit, die
Benutzer mit Dateien nach dem Muster "name.PDF.EXE"
zum Start
von Programmen zu verleiten. Allerdings haben diese Datei dann ein
PDF-Icon, während
die Mac-Version
weder Endung noch Icon aufweist. Wobei letzteres während der Übertragung
verloren gegangen sein kann, da es beim Mac im Ressource-Fork der Datei
gespeichert wird, der beim Kopieren auf Windows-Systemen nicht mit kopiert
wird.
Eine ausführlichere
Analyse
der Trojaners gibt es in Brian Krebs Blog. Die angebliche PDF-Datei ist
ein normales Programm, das die später angezeigte PDF-Datei und den
Schadcode enthält. Beim Start werden PDF-Datei und Schadcode entpackt und
im /tmp
-Verzeichnis gespeichert. Während die echte PDF-Datei
Apples Vorschau zur Anzeige übergeben wird, wird der Schadcode unter dem
aktuellen Benutzer-Konto installiert. Er wird danach bei jeden Neustart
mit gestartet, läuft aber natürlich nur, wenn der Benutzer eingeloggt ist,
der ihn unwissentlich installiert hat.
Laut Intego wurde der PDF-Trojaner nicht "in the wild" gesichtet, wo er her kommt ist ebenso unbekannt wir das mögliche Ziel von Angriffen damit. Und laut F-Secure läuft auf dem Command&Control-Server der installierten Backdoor nur eine leere Apache-Installation. Da scheint also irgendwo eine Entwickler-Version "entwischt" zu sein.
Da der Mac beim Öffnen der "PDF-Datei" die übliche Nachfrage, ob man dies aus dem Internet heruntergeladene Programm wirklich starten möchte, stellt, werden die Benutzer vor dem Start gewarnt. Was oft nicht vor einer Installation der Backdoor schützen wird, da im Zweifelsfall reflexartig auf "Ja" geklickt wird. Man will ja das PDF endlich lesen und diese Warnung erscheint ja so ähnlich auch z.B. bei heruntergeladenen HTML-Dateien. Trotzdem wäre es natürlich deutlich geschickter, einen Trojaner über eine Programmdatei einzuschleusen. Wenn der Benutzer ein Programm starten will, erwartet er die Warnung ja sogar und wird sie bedenkenlos wegklicken. Das haben sich auch andere Cyberkriminelle gedacht und nutzen einen
Flash-Updater als Tarnung für Mac-Trojaner
Der von Intego entdeckte Trojaner wird dort "Flashback" genannt und wurde im Gegensatz zum PDF-Trojaner "in the wild" gefunden. Besonders gefährdet sind Benutzer von Mac OS X "Lion", in dem der Flash-Player nicht "ab Werk" installiert ist. Der Trojaner wird z.B. über Websites zum Download angeboten und könnte leicht mit dem echten Flash-Player-Installationspaket verwechselt werden. In der Tat handelt es sich ja um ein ganz normales Installationspaket, nur wird davon nicht der Flash-Player sondern Schadsoftware zum Nachladen weiteren Schadcodes installiert. Außerdem werden verschiedene Schutzprogramme ausgeschaltet.
Infizierte Systeme erkennt man am Vorhandensein der Datei
Library/Preferences/Preferences.dylib
im Home-Verzeichnis des
betroffenen Benutzers.
Die installierte Schadsoftware verschlüsselt ihre Kommunikation mit ihrem Command&Control-Server mit RC4 und sendet u.A. Informationen über den infizierten Rechner an die Cyberkriminellen. Als Schlüssel für die RC4-Verschlüsselung wird der MD5-Hash der UUID des Macs verwendet. Die Funktion zum Nachladen von Code wird bisher nicht eingesetzt, ebensowenig wie eine ebenfalls vorhandene Update-Funktion der Backdoor.
Generell ist auch dieser Angriff nicht neu, mit dem "Sie brauchen ein Update/einen neuen Codec/... um dieses Video zu sehen"-Trick sind die Cyberkriminellen auf Windows-Systemen sehr erfolgreich, und auch auf dem Mac ist es nicht der erste als Flash-Updater getarnte Trojaner. Den letzten gab es im August, damals wurden vom installierten Schädling Zugriffe auf bestimmte Google-Websites umgeleitet. Einem Bericht von Intego zu Folge scheint Flashback allerdings für einen Mac-Schädling recht erfolgreich zu sein.
Social Engineering statt Viren und Würmer
Ob die Cyberkriminellen nicht in der Lage sind, Viren oder Würmer für den Mac zu entwickeln, oder ob sie keine Lust dazu haben, solange sie mit Social Engineering genauso gut zum Ziel kommen, werden wir wohl nie erfahren. Es bleibt auf jedem Fall festzustellen, dass es wieder mal "nur" Social-Engineering-Angriffe sind, denen die Macs zum Opfer fallen. Womit wir wieder mal bei Ratschlägen angelangt sind, wie man Angriffen am besten begegnet.
Brian Krebs hat drei gute Tipps parat, von denen vor allem der erste wichtig und eingängig ist:
"If you didn't go looking for it, don't install it!" - "Wenn Sie nicht danach gesucht haben, installieren Sie es auch nicht!"
Auch dann nicht, wenn es angeblich nötig ist, um das zu sehen/öffnen, was Sie gesucht haben. Die zweite Regel,
"If you installed it, update it." - "Wenn Sie es installiert haben, updaten Sie es!"
ist auf neuen Macs etwas problematisch, der Mac App Store hat sich als Hindernis für schnelle Updates erwiesen. Bis Apple ein Update freigegeben hat, wurden die damit behobenen Schwachstellen womöglich schon ausgenutzt. Regel drei ist dagegen wieder sehr gut anwendbar:
"If you no longer need it, remove it." - "Wenn Sie es nicht mehr benötigen, löschen Sie es"
Denn was Sie nicht benötigen, werden Sie wahrscheinlich bald vergessen haben und dann nicht mehr updaten, außerdem vergrößert jedes unnötige Programm nur die Angriffsfläche.
Beim Mac gibt es noch einen weiteren Punkt, an dem Sie ihre Sicherheit erhöhen können: Installationspakete werden von Safari automatisch mit dem Mac OS X Installer geöffnet, wenn "Sichere Dateien nach dem Download öffnen" aktiviert ist, was leider die Default-Einstellung ist. Das ist die erste Einstellung, die ich beim Start eines neuen Macs in Safari ändere - der einzige, der hier entscheidet, welche Dateien sicher sind und sie ggf. öffnet, bin ich. Safari hat die Dateien herunter zu laden und danach die Finger davon zu lassen. Ich empfehle Ihnen, das Häkchen vor der Option ebenfalls zu entfernen, diese Funktion war schon des öfteren Einfallstor (oder zumindest -tür) von Schädlingen. Wenn Sie eine Datei herunter geladen haben und öffnen wollen, können Sie das problemlos selbst tun. Z.B. reicht schon ein Doppelklick auf den Dateinamen im Download-Fenster, Sie müssen die Datei gar nicht unbedingt im Download-Verzeichnis suchen.
Trackbacks
Dipl.-Inform. Carsten Eilers am : Digitale Schutzimpfung
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : "Für den Mac gibt es keine Viren"? - Weg mit den Mythen!
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Neues zu Flashback & Co. und WordPress
Vorschau anzeigen