ifun.de — Apple News seit 2001. 27 082 Artikel
Gatekeeper ausgetrickst

Getarnt als .exe: Mac-Schadsoftware hebelt Systemschutz aus

27 Kommentare 27

Das Sicherheits-Team von Trend Micro, Anbieter der Security-Applikation „Antivirus for Mac„, berichtet in seinem Hausblog über einen neuen Typ von Schadsoftware, der auf dem Mac als Windows-Anwendung auftritt und so in der Lage zu sein scheint, sich an Apples Systemschutz „Gatekeeper“ vorbeizuschleichen.

Little Snitch Exe

Die fragliche App, die über Tauschbörsen und Piracy-Foren verteilt wird, setzt auf das Mono-Framework, das unter macOS üblicherweise dafür genutzt wird .NET-Windows-Programme zu starten. Entsprechend tritt die Schadsoftware nicht mit dem Kürzel .app, sondern als .exe-Datei auf.

Der Nebeneffekt: Apples Gatekeeper-Sicherheitsmaßnahmen greifen nicht, die Systemroutine ausschließlich Mac-Applikationen und keine Windows-Programm prüft.

Die Schadsoftware, die sich als Raubkopie bekannter Mac-Anwendungen wie „Little Snitch“ oder „Paragon NTFS“ tarnt, überträgt nach der Installation zahlreiche Kenndaten (wie Seriennummer, Verzeichnis-Struktur, UUID etc.) des infizierten Macs nach Hause und wartet weitere Befehle der Kommando-Server ab.

Currently, running EXE on other platforms may have a bigger impact on non-Windows systems such as MacOS. Normally, a mono framework installed in the system is required to compile or load executables and libraries. In this case, however, the bundling of the files with the said framework becomes a workaround to bypass the systems given EXE is not a recognized binary executable by MacOS’ security features. As for the native library differences between Windows and MacOS, mono framework supports DLL mapping to support Windows-only dependencies to their MacOS counterparts.

Mono Mac

Mit Mono möglich: Windows-Programme auf dem Mac
Mittwoch, 13. Feb 2019, 15:55 Uhr — Nicolas
27 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
Rede mit!
  • Mal nebenbei, wie kann ich im Mac Sperrbildschirm Widget hinzufügen, so wie es oben auf dem Bild ist?

    Danke

  • Verstehe ich insofern nicht ganz, weil m.E. doch die Installation von mono erforderlich ist. Das ist doch aber kein default-Bestandteil von macOS – so weit ich weiß

    • ach jetzt sehe ich – Teil des Installers … na ja wer crack und warez runterlädt und dann installer startet sollte später nicht heulen …

    • Richtig. Nach wie vor muss du den Virus installieren.
      Daher auch die Info das sie sich als installer für verschiedene Programme tarnen.
      Trotzdem wird ein DAU vermutlich drauf rein fallen können

  • Habe mir auch was eingefangen , am laufenden Band kommt ein Fenster , wo ich das Passwort eingeben soll ( was ich natürlich nicht mache )
    Sämtliche versuche es zu bereinigen sind fehlgeschlagen …..
    Runtergelaufen hatte ich ein Entpackungstool , wo sich dieses unsägliche Programm Mac Keeper drin befanden hat .
    Wenn jemand eine Lösung hat , wäre ich dankbar ;) YouTube Anleitung , Apfeltalk usw , da steht zwar einiges zu dieser Problematik , jedoch bringt es bei mir nichts .

  • wer schon eine .exe Datei auf seinem Mac findet, müssten bei dem die Alarmglocken klingeln.

  • „Die Schadsoftware, die sich als Raubkopie bekannter Mac-Anwendungen (…) tarnt, überträgt nach der Installation zahlreiche Kenndaten (…).“

    Ehrlich gesagt: da trifft es die richtigen, Stichwort Raubkopie. Man erntet was man sät – früher oder später.

  • das heisst also: besser mono deinstallieren?

  • Macht aber so nicht ganz Sinn, die .exe wird zwar vom GateKeeper nicht blockiert, die .app welche die .exe beinhaltet jedoch schon.

  • Selbst wenn, erstens keine Root Rechte, zudem braucht es bei systemübergreifenden Aktionen trotzdem wieder das Benutzerpasswort.

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 27082 Artikel in den vergangenen 6626 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2019 aketo GmbH   ·   Impressum   ·   Datenschutz   ·   Auf dieser Seite werben aketo GmbH Powered by SysEleven