Trojaner Tibet.A nutzt alte Mac-OS-Lücke aus

Nur nicht aktualisierte Systeme sind anfällig. Dieselben Angreifer sollen einen Exploit für eine Lücke in Office unter Mac OS in Umlauf gebracht haben. Beide Trojaner sind auf das Sammeln persönlicher Daten aus.

Tibet.A nutzt anscheinend dieselbe Schwachstelle, die auch der Mac-OS-X-Trojaner Flashback verwendet hat. Ein Patch dafür ist verfügbar, sodass aktualisierte Systeme nicht betroffen sind. Zudem ist ein neuer Exploit aufgetaucht, der eine alte Lücke in Office unter Mac OS ausnutzt. Microsoft hatte sie in einer Sicherheitsmeldung vom Juni 2009 detailliert beschrieben und kurz darauf geschlossen.

Nach Angaben von AlienVault Labs dürften beide Schadprogramme von derselben Gruppe stammen. Der Sicherheitsanbieter hat auch Tibet.A überwacht. Ziel der Angreifer sind demnach augenscheinlich gemeinnützige Organisationen aus Tibet.

In beiden Fällen versucht die Malware, Kommando- und Kontrollserver zu kontaktieren, um Anweisungen zu erhalten. Bei Tibet.A werden Nutzer auf eine Webseite gelockt, die Schadcode enthält. Beim zweiten Exploit müssen Anwender eine infizierte Word-Datei öffnen, die vermutlich via Spam in Umlauf gebracht wurde. Es funktioniert zweistufig: Über ein Script wird ein Trojaner auf der Festplatte abgelegt. Dann wird ein Shell-Script gestartet, das die Malware ausführt. Zudem öffnet sich ein Word-Dokument mit einem politischen Statement zur Situation in Tibet.

Ist Tibet.A erst installiert, versucht es, Screenshots zu erstellen und Informationen zu sammeln, die es an einen Remote-Server sendet. Die Software lädt ein Java-Applet herunter, wenn eine infizierte Webseite besucht wird, und installiert eine Hintertür. URLs, die auf solche Seiten verweisen, kamen demnach per Spam-Mail beim Empfänger an. Entdeckt worden war der Trojaner vergangene Woche von Intego.

Nach Angaben der Sicherheitsforscher greift Tibet.A sowohl Windows- als auch Mac-OS-Systeme an. Allem Anschein nach identifiziert die infizierte Webseite die verwendete Plattform und verschickt die dazu passenden Binärdateien.

Wie bei Flashback benötigt der Trojaner lediglich Zugriff auf das Benutzerkonto eines Anwenders; ein Passwort ist nicht nötig. Einzige Voraussetzung für einen erfolgreichen Angriff ist eine veraltete Java-Version im Browser. Vermeiden lässt eine Attacke allerdings recht simpel: Indem man Java blockiert oder ein System-Update durchführt.

Zudem lassen sich folgende Kommandos im OS-X-Terminal ausführen, um die Malware zu entfernen:
sudo rm /Applications/Automator.app/Contents/MacOS/DockLight
sudo rm /Library/launchd

[mit Material von Topher Kessler, News.com]

Themenseiten: Mac OS X 10.7 Lion, macOS

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Trojaner Tibet.A nutzt alte Mac-OS-Lücke aus

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *