Kryptowährungen im Visier
„AppleJeus“: Sicherheitsforscher warnen vor neuem Mac-Trojaner
Die sogenannte Lazarus-Gruppe war Branchenexperten zufolge in den vergangenen Jahren in etliche Fälle von Cyperspionage und Cyberattacken verstrickt. Aktuell hat es die Hacker-Gruppe einem Bericht von Kaspersky Securelist zufolge auf Kryptowährungen abgesehen, in diesem Zusammenhang kommt auch ein ausgeklügelter Mac-Trojaner zum Einsatz.
Der „AppleJeus“ genannte Angriff hat die Umschlagplätze für Kryptowährungen direkt im Visier. Zu diesem Zweck haben die Hacker keinen Aufwand gescheut, und offenbar ein fiktives Software-Unternehmen gegründet um darüber eine modifiziert, für Mac und Windows erhältlicheSoftware für den Handel mit Kryptowährungen in Umlauf zu bringen. Anwender schöpfen bei der Installation des Tools mit Namen „Celas Trade Pro“ keinen Verdacht, da die App laut Kaspersky mit einem gültigen Software-Zertifikat von Apple ausgestattet ist und Warnmeldungen des Systems entsprechend unterbleiben.
Screenshot von „Celas Trade Pro“ (via Kaspersky)
Der Code der Anwendung ist zunächst nicht verdächtig, mit Ausnahme einer Komponente: einem Updater. Solche Komponenten werden in legitimer Software eingesetzt, um neue Programm-Versionen herunterzuladen. Im Fall von AppleJeus verhält es sich wie ein Ausspähmodul. Zuerst werden grundlegende Informationen über den Computer gesammelt, auf dem es installiert wurde, dann sendet es diese Informationen zurück an den Command-and-Control-Server. Entscheiden die Angreifer, dass der Computer ein lohnenswertes Ziel ist, wird der Schadcode in Form eines Software-Updates injiziert.
Kaspersky nimmt den Vorgang zum Anlass, Mac-Nutzer einmal mehr vor der steigenden Bedrohung durch Malware zu warnen. Der aktuelle Fall zeige, dass weder eine authentisch aussehende Webseite, noch ein starkes Unternehmensprofil oder digitale Zertifikate eine Garantie dafür seien, dass im Internet geladene Anwendungen keine Hintertüren enthalten. Wer auf Nummer sicher gehen will, setzt (den Anbietern eines solchen Tools zufolge) einen leistungsstarken Malware-Scanner ein, oder bezieht seine Apps nach Möglichkeit nur aus dem Mac App Store sowie sonstigen bekannt verlässlichen Quellen wie etwa bekannte Entwickler-Webseiten oder renommierten Portalen wie Setapp.
hab seit 2011 einen Mac und seit dem auch KEINEN Virenscanner mehr… nuff said
Ziel ist es ja auch, dass du von den Hintergrundaktivitäten nichts mitbekommst.
Ich habe im Bekanntenkreis mehr als einmal erlebt, dass der Mac auch einfach nur zum verteilen von Viren genutzt wurde. Also USB-Stick Weitergabe an Freunde mit Win.
Was nicht zwangsläufig bedeutet, dass du keine hast, sondern nur, dass sie dir nicht angezeigt werden – wenn es denn einen Scanner gibt, der sie findet.
Sind Scanner wirklich sinnvoll? Sie geben oft Warnungen wegen potenzieller Gefahr, und die wirkliche Schadsoftware wird vom System genau so schnell erkannt wie vom Scanner.
Das ist ein zweischneidiges Schwert.
Persönlich habe ich keinen installiert, der die ganze Zeit im Hintergrund läuft, sondern veranlasse lieber regelmäßig einen manuellen Lauf, nachdem ich ein Backup angefertigt habe. Nach dem Scan spiele ich das Backup wieder ein – egal, ob etwas gefunden wurde oder nicht. Zur Sache mit dem System: Es ist nicht unbedingt gewährleistet, dass die Signaturlisten deckungsgleich sind.
Warum ich das so mache:
Virenscanner machen einen Computer auch unsicherer. Das klingt erstmal seltsam, hat einen Grund. Wenn man z.B. kein PowerPoint installiert hat, aber eine E-Mail mit einem schädlichen PowerPoint-Dokument im Postfach hat, ist man ohne installiertes PowerPoint sicher. Es kann aber sein, dass eben dieses Dokument trotzdem Schaden anrichtet, wenn der Virenscanner die Datei ausführt. Manch ein Schädling macht sich sogar den Virenscanner als Einfallstor zum System zu Nutze, da ein Virenscanner in der Regel mit Systemrechten ausgeführt wird und dadurch mehr Berechtigungen als der angemeldete Benutzer besitzt. Das Team von Googles Project Zero hat da schon so einige ausnutzbare Lücken offengelegt. Da ich nicht sicher sein kann, dass der Scannerdurchlauf keinen Schaden angerichtet hat, wird das Backup dann trotzdem immer wieder zurückgespielt und dann manuell von ggf. gefundenen Schädlingen befreit.
Mag sein, dass ich an der Stelle ein wenig paranoid bin, aber für mich ist es praktikabel.
„oder bezieht seine Apps nach Möglichkeit nur aus dem Mac App Store sowie sonstigen bekannt verlässlichen Quellen wie etwa bekannte Entwickler-Webseiten oder renommierten Portalen wie Setapp.“
Genau so ist es. Wobei ich App Store only definitiv bevorzuge. Websites können gekapert werden.
Der MacAppStore hätte in diesem Fall aber auch nichts genützt, da die Anwendung ja mit einem gültigen Apple-Zertifikat versehen war.
Soweit ich weis führen AppStore Programme keine eigenen Updater mit sich. Hier werden Updates über den Store ausgebracht.
Ein nachladen von verseuchtem Code ist damit zumindest erschwert.
@olli da muss ich dir recht geben