Neue Variante vom Mac-OS-X-Trojaner Flashback entdeckt

Mac-Sicherheitsanbieter Intego hat eine neue Variante des als Flashback bekannten Trojaners gefunden. Entdeckt wurde sie ausgerechnet am Freitag, dem 13. Januar. Wie frühere Varianten, die erstmals im September 2011 die Runde machten, gibt sich die Malware als Installationspaket für Adobe Flash aus.

Die neue Malware-Version sieht aus wie ein Adobe-Flash-Installer (Bild: Intego).

Die neue Version erhielt die Bezeichnung OSX/Flashback.J, wobei „J“ für die zehnte Variation steht. Das Archiv „FlashPlayer-11-7-macos.pkg“ enthält demnach ein Installationspaket, das nach seiner Ausführung die Schadsoftware auf dem Rechner installiert. Die in Mac OS X integrierte Schutzfunktion XProtect erkennt Flashback.J noch nicht, da die Malware nach dem jüngsten Apple-Update in Umlauf gebracht wurde. Das Ziel von Flashback wiederum besteht darin, das Signatur-Update XProtect.plist auszuschalten, so dass ab diesem Zeitpunkt keine Updates der Signaturen mehr erfolgen. In der Folge kann es eine Hintertür öffnen, Nutzerdaten an einen fremden Server schicken sowie weiteren Schadcode nachladen.

Eingeführt hatte Apple den integrierten Antivirenscanner XProtect, nachdem sich im vergangenen Jahr die Malware MacDefender verbreitet hatte. Diese gab sich für viele Mac-Nutzer überzeugend als Antivirensoftware aus, war aber tatsächlich Scareware mit der Absicht, an Kreditkartendaten zu kommen. Das Problem mit immer neuen Varianten von MacDefender konnte Apple inzwischen dank XProtect wirksam lösen, das auch als File Quarantine bekannt ist und auf unsichere Downloads überprüft.

Auch Flashback dürfte sich nicht als dauerhafte Gefahr erweisen, obwohl seine neuen Varianten belegen, dass die Schadsoftware noch immer weiterentwickelt wird. Laut Intego erlauben die Malware-Definitionen seiner eigenen Sicherheitssoftware auch die Erkennung von OSX/FlashBack.J. Sogar künftige Varianten sollen mit ihnen voraussichtlich zu erkennen sein.