Trojaner Tibet.A nutzt alte Mac-OS-Lücke aus

Tibet.A nutzt anscheinend dieselbe Schwachstelle, die auch der Mac-OS-X-Trojaner Flashback verwendet hat. Ein Patch dafür ist verfügbar, sodass aktualisierte Systeme nicht betroffen sind. Zudem ist ein neuer Exploit aufgetaucht, der eine alte Lücke in Office unter Mac OS ausnutzt. Microsoft hatte sie in einer Sicherheitsmeldung vom Juni 2009 detailliert beschrieben und kurz darauf geschlossen.

Nach Angaben von AlienVault Labs dürften beide Schadprogramme von derselben Gruppe stammen. Der Sicherheitsanbieter hat auch Tibet.A überwacht. Ziel der Angreifer sind demnach augenscheinlich gemeinnützige Organisationen aus Tibet.

In beiden Fällen versucht die Malware, Kommando- und Kontrollserver zu kontaktieren, um Anweisungen zu erhalten. Bei Tibet.A werden Nutzer auf eine Webseite gelockt, die Schadcode enthält. Beim zweiten Exploit müssen Anwender eine infizierte Word-Datei öffnen, die vermutlich via Spam in Umlauf gebracht wurde. Es funktioniert zweistufig: Über ein Script wird ein Trojaner auf der Festplatte abgelegt. Dann wird ein Shell-Script gestartet, das die Malware ausführt. Zudem öffnet sich ein Word-Dokument mit einem politischen Statement zur Situation in Tibet.

Ist Tibet.A erst installiert, versucht es, Screenshots zu erstellen und Informationen zu sammeln, die es an einen Remote-Server sendet. Die Software lädt ein Java-Applet herunter, wenn eine infizierte Webseite besucht wird, und installiert eine Hintertür. URLs, die auf solche Seiten verweisen, kamen demnach per Spam-Mail beim Empfänger an. Entdeckt worden war der Trojaner vergangene Woche von Intego.

Nach Angaben der Sicherheitsforscher greift Tibet.A sowohl Windows- als auch Mac-OS-Systeme an. Allem Anschein nach identifiziert die infizierte Webseite die verwendete Plattform und verschickt die dazu passenden Binärdateien.

Wie bei Flashback benötigt der Trojaner lediglich Zugriff auf das Benutzerkonto eines Anwenders; ein Passwort ist nicht nötig. Einzige Voraussetzung für einen erfolgreichen Angriff ist eine veraltete Java-Version im Browser. Vermeiden lässt eine Attacke allerdings recht simpel: Indem man Java blockiert oder ein System-Update durchführt.

Zudem lassen sich folgende Kommandos im OS-X-Terminal ausführen, um die Malware zu entfernen:
sudo rm /Applications/Automator.app/Contents/MacOS/DockLight
sudo rm /Library/launchd

[mit Material von Topher Kessler, News.com]

Neueste Kommentare 

Noch keine Kommentare zu Trojaner Tibet.A nutzt alte Mac-OS-Lücke aus

Kommentar hinzufügen

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *