Neue Mac-Malware Leverage stammt wohl von Syrian Electronic Army

Sie lädt zumindest ein Bild mit dem Wappen der Pro-Assad-Hacker herunter. Schaden richtet sie nicht an, öffnet aber eine künftig verwendbare Hintertür. Intego kennt die Verbreitungswege nicht, sieht aber derzeit nur eine geringe Bedrohung gegeben.

Intego hat einen neuen Trojaner namens OSX/Leverage.A für Mac OS aufgespürt, der Spuren nach Syrien und zur von dort aus operierenden Hackergruppe Syrian Electronic Army enthält. Er öffne den Angreifern eine Hintertür und sei offenbar für gezielte Angriffe eingesetzt worden, heißt es. Eine Infektionswelle ist nicht zu erwarten: „Die Bedrohungsstufe scheint niedrig.“

Heruntergeladenes Wappen der SEAHeruntergeladenes Wappen der SEA

Die Malware testet auf Gastsystemen zunächst, ob eine aktive Internetverbindung besteht. Wenn ja, lädt sie – möglicherweise als an den Kommandoserver gerichtete Statusmeldung – ein Bild der Syrian Electronic Army herunter. Wie sie verteilt wird, ist unklar – möglicherweise per E-Mail-Phishing oder ein Watering Hole, also einen von der Zielgruppe gern genutzten, von den Angreifern manipulierten Server. Die Syrian Electronic Army hat beide Verfahren schon genutzt.

Irgendwelche gefährlichen Aktionen scheint das Schadprogramm nicht auszuführen, es tarnt sich aber Intego zufolge beim Download geschickt: „Der Mac-Trojaner verbirgt sich vor dem Dock und einem Wechsel von Anwendungen durch Cmd-Tab. Dann öffnet er ein Foto in der Standard-Bildervorschau von OS X, um den Anwender glauben zu machen, er habe gerade nur ein Bild heruntergeladen.“ Dabei handelt es sich natürlich nicht um das vorher erwähnte Wappen der SEA, sondern ein Foto eines Paares, das sich gerade küsst.

Tarnbild der Mac-Malware Leverage (Screenshot: Intego)Tarnbild der Mac-Malware Leverage (Screenshot: Intego)

Auch wenn kein direkter Angriff durch das Programm erfolgt, bereitet es den Boden für einen solchen: „Die Trojaner-Applikation installiert eine dauerhafte Hintertür, über die ein Angreifer eine Reihe von befehlen senden kann“, heißt es.

Intego gibt in Verbindung mit dem Hinweis nur allgemeine Ratschläge: Nutzer sollten Software, Betriebssystem, Browser und Plug-ins wie Flash oder Java jederzeit aktuell halten. Die aktuellen Virendefinitionen für sein Programm Intego VirusBarrier enthalten OSX/Leverage.A bereits.

Bekannte Nachrichtensites und journalistische Angebote zählen zu den bevorzugten Opfern der syrischen Hackergruppe, die den amtierenden Präsidenten Baschar al-Assad unterstützt. Darunter waren dieses Jahr schon die Associated Press, die BBC, der Guardian und Thomson Reuters. In der Mehrzahl der Fälle gelangten die Angreifer durch Spear-Phishing-Mails an Twitter-Zugangsdaten.

[mit Material von Tom Brewster, TechWeekEurope.co.uk]

Themenseiten: Hacker, Malware, Politik, Syrian Electronic Army, intego, macOS

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Neue Mac-Malware Leverage stammt wohl von Syrian Electronic Army

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *