OSX.Janicab.A
Neue Malware schleicht sich trickreich auf Macs
Die neu aufgetauchte Mac-Malware „OSX.Janicab.A“ ist ein weiterer Beleg dafür, dass steigender Erfolg auch seine Schattenseiten hat. Mit der zunehmenden Popularität von Apple-Produkten steigt auch der Reiz für Malware-Programmierer, sich auf OS X oder iOS einzunisten. Glücklicherweise schlagen die systemeigenen Schutzmechanismen bislang noch relativ gut Alarm, so auch im aktuellen Fall.
Bei „OSX.Janicab.A“ handelt es sich um einen Trojaner, der sich mithilfe eines Tricks als PDF tarnt und darauf hofft, dass der Mensch am Mac beim Öffnen unbedarft sein Kennwort für die Installation einer Software eingibt.
Ein ausführbares Programm (.app) mit der Endung PDF zu versehen, wird eigentlich vom System verweigert. Die Malware-Entwickler haben sich hierfür eines abgefahrenen Tricks bedient, bei dem die Endung mittels eines durch Zeichencodierung erzwungenen Rechts-nach-links-Schreibung hinzugefügt wird (das im Detail zu erklären ist ziemlich kompliziert, ausführlich findet ihr den Trick hier beschrieben).
Jedenfalls gelingt den Malware-Programmierern zwar die Tarnung, allerdings hat die Verwendung des Rechts-nach-Links-Codes auch zur Folge, dass die beim Öffnen standardmäßig angezeigte Warnmeldung von rechts nach links geschrieben und somit mehr oder weniger unleserlich ist. Spätestens hier sollte ein Computernutzer stutzig werden.
Apples Sicherheitstool Gatekeeper winkt die Malware übrigens durch, da die Schadsoftware mit einer echten Entwickler-ID zertifiziert ist. Apple kann diese ID aber kurzfristig sperren und auf diese Weise auch den Gatekeeper-Schutz wiederherstellen.
Bislang wird die Entwicklung von den Sicherheitsfirmen in erster Linie mit wissenschaftlichem Interesse betrachtet, zeugt doch die aufwändige Programmierung für eine bislang nicht bekannte Kreativität beim Programmieren von Mac-Malware. Eine konkrete Bedrohung für größere Nutzerzahlen schein erstmal ausgeschlossen.
Im aktiven Zustand baut die Malware übrigens eigenständig Verbindungen zu verschiedenen Kontrollservern auf. Um derartiges zu verhindern, ist der ja schon ab und an von uns empfohlene Netzwerkwächter Little Snitch sicherlich eine hervorragende Wahl.
(via Webroot Threat Blog)