Skip to content

Gefährliche PDFs und Flash-Updates für Mac OS X

Das Cyberkriminelle entsprechend präparierte PDF-Dateien für Angriffe nutzen ist ebenso alltäglich wie die Tatsache, dass der Flash-Player eigentlich kein Programm, sondern eine Sammlung von Schwachstellen ist. Das gilt prinzipiell auch für den Mac, wenn auch bisher meist Windows-Systeme angegriffen wurden. Und jetzt? Jetzt kommen die Cyberkriminellen auf die geniale Idee, und nutzen

PDF als Tarnung für Mac-Trojaner

Also wirklich, auffälliger ging's wohl nicht mehr? Das man PDF-Dateien aus nicht vertrauenswürdigen Quellen besser gar nicht öffnet und bei unverlangt von bekannten Absendern zugeschickten PDF-Dateien zumindest nachfragt sollte sich auch bis zu Mac-Nutzern rumgesprochen haben. Und was machen die Cyberkriminellen? Von den tausenden möglichen Dateitypen, die sie vortäuschen könnten, verwenden sie ausgerechnet ein PDF als Tarnung für einen Trojaner. Etwas noch auffälligeres haben sie wohl nicht gefunden?

Aber werfen wir mal einen Blick auf die Fakten. Genauer: Auf die PDF-Datei, die gar keine PDF-Datei ist. Auf den ersten Blick handelt es sich um ein PDF in chinesischer Sprache, genauer: Einen Artikel über den Streit zwischen China und Japan, wem denn nun die Diaoyu-/Senkaku-Inseln gehören. Beim Öffnen der Datei wird auch tatsächlich ein entsprechender Artikel angezeigt. Im Hintergrund wird aber versucht, eine Hintertür zu installieren. Der Trick ist auf Windows-Systemen uralt, da versuchen die Cyberkriminellen schon seit einer gefühlten halben Ewigkeit, die Benutzer mit Dateien nach dem Muster "name.PDF.EXE" zum Start von Programmen zu verleiten. Allerdings haben diese Datei dann ein PDF-Icon, während die Mac-Version weder Endung noch Icon aufweist. Wobei letzteres während der Übertragung verloren gegangen sein kann, da es beim Mac im Ressource-Fork der Datei gespeichert wird, der beim Kopieren auf Windows-Systemen nicht mit kopiert wird.

Eine ausführlichere Analyse der Trojaners gibt es in Brian Krebs Blog. Die angebliche PDF-Datei ist ein normales Programm, das die später angezeigte PDF-Datei und den Schadcode enthält. Beim Start werden PDF-Datei und Schadcode entpackt und im /tmp-Verzeichnis gespeichert. Während die echte PDF-Datei Apples Vorschau zur Anzeige übergeben wird, wird der Schadcode unter dem aktuellen Benutzer-Konto installiert. Er wird danach bei jeden Neustart mit gestartet, läuft aber natürlich nur, wenn der Benutzer eingeloggt ist, der ihn unwissentlich installiert hat.

Laut Intego wurde der PDF-Trojaner nicht "in the wild" gesichtet, wo er her kommt ist ebenso unbekannt wir das mögliche Ziel von Angriffen damit. Und laut F-Secure läuft auf dem Command&Control-Server der installierten Backdoor nur eine leere Apache-Installation. Da scheint also irgendwo eine Entwickler-Version "entwischt" zu sein.

Da der Mac beim Öffnen der "PDF-Datei" die übliche Nachfrage, ob man dies aus dem Internet heruntergeladene Programm wirklich starten möchte, stellt, werden die Benutzer vor dem Start gewarnt. Was oft nicht vor einer Installation der Backdoor schützen wird, da im Zweifelsfall reflexartig auf "Ja" geklickt wird. Man will ja das PDF endlich lesen und diese Warnung erscheint ja so ähnlich auch z.B. bei heruntergeladenen HTML-Dateien. Trotzdem wäre es natürlich deutlich geschickter, einen Trojaner über eine Programmdatei einzuschleusen. Wenn der Benutzer ein Programm starten will, erwartet er die Warnung ja sogar und wird sie bedenkenlos wegklicken. Das haben sich auch andere Cyberkriminelle gedacht und nutzen einen

Flash-Updater als Tarnung für Mac-Trojaner

Der von Intego entdeckte Trojaner wird dort "Flashback" genannt und wurde im Gegensatz zum PDF-Trojaner "in the wild" gefunden. Besonders gefährdet sind Benutzer von Mac OS X "Lion", in dem der Flash-Player nicht "ab Werk" installiert ist. Der Trojaner wird z.B. über Websites zum Download angeboten und könnte leicht mit dem echten Flash-Player-Installationspaket verwechselt werden. In der Tat handelt es sich ja um ein ganz normales Installationspaket, nur wird davon nicht der Flash-Player sondern Schadsoftware zum Nachladen weiteren Schadcodes installiert. Außerdem werden verschiedene Schutzprogramme ausgeschaltet.

Infizierte Systeme erkennt man am Vorhandensein der Datei Library/Preferences/Preferences.dylib im Home-Verzeichnis des betroffenen Benutzers.

Die installierte Schadsoftware verschlüsselt ihre Kommunikation mit ihrem Command&Control-Server mit RC4 und sendet u.A. Informationen über den infizierten Rechner an die Cyberkriminellen. Als Schlüssel für die RC4-Verschlüsselung wird der MD5-Hash der UUID des Macs verwendet. Die Funktion zum Nachladen von Code wird bisher nicht eingesetzt, ebensowenig wie eine ebenfalls vorhandene Update-Funktion der Backdoor.

Generell ist auch dieser Angriff nicht neu, mit dem "Sie brauchen ein Update/einen neuen Codec/... um dieses Video zu sehen"-Trick sind die Cyberkriminellen auf Windows-Systemen sehr erfolgreich, und auch auf dem Mac ist es nicht der erste als Flash-Updater getarnte Trojaner. Den letzten gab es im August, damals wurden vom installierten Schädling Zugriffe auf bestimmte Google-Websites umgeleitet. Einem Bericht von Intego zu Folge scheint Flashback allerdings für einen Mac-Schädling recht erfolgreich zu sein.

Social Engineering statt Viren und Würmer

Ob die Cyberkriminellen nicht in der Lage sind, Viren oder Würmer für den Mac zu entwickeln, oder ob sie keine Lust dazu haben, solange sie mit Social Engineering genauso gut zum Ziel kommen, werden wir wohl nie erfahren. Es bleibt auf jedem Fall festzustellen, dass es wieder mal "nur" Social-Engineering-Angriffe sind, denen die Macs zum Opfer fallen. Womit wir wieder mal bei Ratschlägen angelangt sind, wie man Angriffen am besten begegnet.

Brian Krebs hat drei gute Tipps parat, von denen vor allem der erste wichtig und eingängig ist:

"If you didn't go looking for it, don't install it!" - "Wenn Sie nicht danach gesucht haben, installieren Sie es auch nicht!"

Auch dann nicht, wenn es angeblich nötig ist, um das zu sehen/öffnen, was Sie gesucht haben. Die zweite Regel,

"If you installed it, update it." - "Wenn Sie es installiert haben, updaten Sie es!"

ist auf neuen Macs etwas problematisch, der Mac App Store hat sich als Hindernis für schnelle Updates erwiesen. Bis Apple ein Update freigegeben hat, wurden die damit behobenen Schwachstellen womöglich schon ausgenutzt. Regel drei ist dagegen wieder sehr gut anwendbar:

"If you no longer need it, remove it." - "Wenn Sie es nicht mehr benötigen, löschen Sie es"

Denn was Sie nicht benötigen, werden Sie wahrscheinlich bald vergessen haben und dann nicht mehr updaten, außerdem vergrößert jedes unnötige Programm nur die Angriffsfläche.

Beim Mac gibt es noch einen weiteren Punkt, an dem Sie ihre Sicherheit erhöhen können: Installationspakete werden von Safari automatisch mit dem Mac OS X Installer geöffnet, wenn "Sichere Dateien nach dem Download öffnen" aktiviert ist, was leider die Default-Einstellung ist. Das ist die erste Einstellung, die ich beim Start eines neuen Macs in Safari ändere - der einzige, der hier entscheidet, welche Dateien sicher sind und sie ggf. öffnet, bin ich. Safari hat die Dateien herunter zu laden und danach die Finger davon zu lassen. Ich empfehle Ihnen, das Häkchen vor der Option ebenfalls zu entfernen, diese Funktion war schon des öfteren Einfallstor (oder zumindest -tür) von Schädlingen. Wenn Sie eine Datei herunter geladen haben und öffnen wollen, können Sie das problemlos selbst tun. Z.B. reicht schon ein Doppelklick auf den Dateinamen im Download-Fenster, Sie müssen die Datei gar nicht unbedingt im Download-Verzeichnis suchen.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Digitale Schutzimpfung

Vorschau anzeigen
Heise Security hat festgestellt, dass einige Virenscanner bei der Erkennung eines minimal manipulierten Staatstrojaners versagen und die Erkennungsleistung auch sonst zu wünschen übrig lässt. Wundert das irgend jemanden? Virensc

Dipl.-Inform. Carsten Eilers am : "Für den Mac gibt es keine Viren"? - Weg mit den Mythen!

Vorschau anzeigen
Es ist an der Zeit, mal mit einige Mythen rund um den Mac, Schadsoftware und das Flashback-Botnet aufzuräumen. Wenn man sich die verschiedenen Mac-Foren ansieht, liest man immer wieder die gleichen, falschen Aussagen. Da ich weder Lust noch Zei

Dipl.-Inform. Carsten Eilers am : Neues zu Flashback & Co. und WordPress

Vorschau anzeigen
Es gibt noch ein paar Neuigkeiten zu Flashback und anderen, die gleiche Schwachstelle ausnutzenden Schädlingen. Und wussten Sie schon, dass Flashback über WordPress-Installationen verbreitet wurde und noch wird? Abweichungen bei der