Neue Mac-Malware stiehlt Passwörter

Sie tarnt sich als Text- oder Bilddatei und richtet eine permanente Hintertür ein. Darüber lädt die Malware schließlich Proof-of-Concept-Code für eine Schwachstelle in Keychain. Sie erlaubt es, den Verschlüsselungsschlüssel auszulesen und auf alle Inhalte des Passwortspeichers zuzugreifen.

Der Sicherheitsanbieter Eset warnt vor einer neuen Malware für Apples Desktopbetriebssystem OS X. Ihr Ziel ist es, eine permanente Hintertür einzurichten und den Inhalt des Passwortspeichers Keychain zu stehlen. Verteilt wird die Schadsoftware namens OSX/Keydnap über Archivdateien im Zip-Format. Der eigentliche Infektionsweg ist allerdings noch nicht bekannt.

Malware (Bild: Shutterstock/Blue Island)Die ausführbare Komponente in dem Archiv nutzt unverdächtige Dateiendungen wie .txt für Textdateien oder .jpg für Bilddateien. Allerdings besitzt die Dateiendung ein Leerzeichen am Ende, weswegen sie mit der App Terminal geöffnet wird und nicht mit der Bildvorschau oder dem Texteditor. Da das Archiv auch Icons für JPG- und TXT-Dateien enthält, kann auch am Dateisymbol nicht erkannt werden, dass es sich möglicherweise um Schadsoftware handelt.

Ein Doppelklick auf die vermeintlich ungefährliche Bild- oder Testdatei öffnet ein Terminal-Fenster und führt den Schadcode aus. Das gelingt jedoch nur, wenn die Sicherheitsfunktion Gatekeeper nicht aktiviert ist. Andernfalls erkennt sie, dass die ausführbare Datei nicht von Apple signiert ist und verhindert so die Installation des Schädlings.

Ohne Gatekeeper wird jedoch im Hintergrund die Backdoor-Komponente „icloudsyncd“ heruntergeladen und gestartet. Sie fügt zudem einen Eintrag zum Verzeichnis „LaunchAgents“ hinzu – die Backdoor ist also auch nach einem Neustart des Systems aktiv. Anschließend stellt die Backdoor über das Anonymisierungsnetzwerk Tor eine Verbindung zu einem Befehlsserver her, wie Computerworld berichtet.

Root-Rechte verschafft sich die Schadsoftware über einen einfachen Trick. Sie wartet, bis der Nutzer eine andere Anwendung startet und blendet dann ein Fenster ein, dass nach den Anmeldedaten fragt – so als würde die gerade vom Nutzer geöffnete Anwendung Admin-Rechte einfordern.

Schließlich wird über den Befehlsserver auch die Komponente heruntergeladen, die den Inhalt von Keychain stiehlt. Dabei soll es sich um Proof-of-Concept-Code für eine Schwachstelle in Keychain handeln, der als Open Source auf GitHub veröffentlicht wurde. Er erlaubt es, den Speicherinhalt des Systemdiensts securityd auszulesen, der den Entschlüsselungsschlüssel für Keychain enthält. So erhalten die Angreifer Zugriff auf alle in Keychain gespeicherten Anmeldedaten.

ANZEIGE

Memory Introspection für den Hypervisor: ein neues Sicherheitsframework für virtualisierte Umgebungen

Von den Mainframes der 1960er-Jahre bis zur gegenwärtigen cloud-orientierten Entwicklung haben sich Rechenzentren enorm gewandelt. Als Anwendungen missionskritisch wurden und Desktop-Server in professionelle Rechenzentren umgezogen wurden, nahm die Anzahl physischer Server in den Rechenzentren exponentiell zu.

Eine weitere Backdoor, die derzeit Mac-Nutzer bedroht, hat Bitdefender Anfang der Woche analysiert. Sie tarnt sich als legitime App, die jedoch nicht über den Mac App Store verteilt wird und deswegen ebenfalls von Gatekeeper als möglicherweise schädlich eingestuft wird. Sie hat es vor allem auf den Zugriff auf die Webcam abgesehen.

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Neueste Kommentare 

15 Kommentare zu Neue Mac-Malware stiehlt Passwörter

Kommentar hinzufügen
  • Am 8. Juli 2016 um 13:43 von ckOne

    Ironie an – laut PeerH und MacHarry kann das gar nicth sein, also löscht diesen unverschämten Artikel wieder. Und ausserdem ist es bei Windows und Android viel schlimmer. – Ironie off

    • Am 8. Juli 2016 um 15:23 von Judas Ischias

      Ha ha ha. Fängst Du jetzt auch noch an, an dem was die Redakteure hier schreiben, rumzumeckern?;)

    • Am 8. Juli 2016 um 16:08 von WDSE

      Lese mal den Artikel!
      Wenn der Gatekeeper aktiv ist, passiert nichts.
      Ist übrigens standardmäßig aktiv.
      Trolle egal welcher Fraktion langweilen mich!

      Trotzdem danke für den Artikel.

      • Am 8. Juli 2016 um 17:03 von PeerH

        Ich fand ihn auch interessant, insbesondere, wenn man auch den verlinkten Artikel bei ‚welivesecurity.com‘ liest.
        Mach Dir nix daraus, die saugen aus solchen flachen Kommentaren ihr Lebenselixir. Es geht ihnen nie ums Thema. ;-)

  • Am 8. Juli 2016 um 21:21 von Judas Ischias

    Tja, da wurde mit Absicht versucht die ironischen Kommentare von ckOne und mir misszuverstehen.
    Was mich bei PeerH aber nicht wundert, da es ihn und seine Meckerei an den Redakteuren betrifft.
    In letzter Zeit häufen sich nämlich seine Beschwerden an die Redaktion, wenn mal wieder ein Artikel, wo Apple vorkommt, nicht so geschrieben ist, wie es PeerH für richtig hält.
    Deshalb auch mein ironischer Kommentar zum Kommentar von ckOne.
    Der auch extra mit Betonung auf Ironie darauf anspielt, dass PeerH mit allen Kommentaren und Artikeln nicht einverstanden ist, die nicht seinem Weltbild von Apple entsprechen.
    Ich jedenfalls habe den Kommentar von ckOne ohne Probleme verstanden.;)

    • Am 9. Juli 2016 um 10:41 von PeerH

      Wenn Du Rechtschreibfehler anmerkst, ist das ok, aber wenn ich inhaltliche Fehler ergänze, ist es schlecht? Und bedarf eines ironischen Kommentars?
      Die Redakteure intelligent genug, um unzutreffende Kritik selber zu beantworten.
      Ansonsten bin ich stolz auf Dich, dass Du ihn verstanden hast. Nur, war für Dich eine geistige Herausforderung, angesichts der Tatsache, dass er explizit ‚Ironie an‘ und ‚Ironie aus‘ hingeschrieben hat?
      Oder war es schlicht ein unnötiger Kommentar, der Null Bezug zum Artikel enthielt, und der nur um Aufmerksamkeit und eine Reaktion meinerseits bettelte? Mit dem Ergebnis, dass Du sogar zweimal darauf reagiert hast – ein ironischer Kommentar zum ironischen Kommentar, wie lustig – ohne Bezug zum Thema des Artikels.

      Wer hat also eine verbogene Wahrnehmung und ein verzerrtes Weltbild? Ihr beide – oder ich?

      • Am 9. Juli 2016 um 13:47 von C

        Du.

        Weil Du zwar ein Faible für eine Firma/Marke hast, jedoch die Realitäten Dir immer „zurecht biegen möchtest“ – anstatt mal neutral echte Kritik zu üben.

        Sehr verdächtig wird es dann, wenn Du versuchst aus User-Sicht Hersteller-Aktionen zu rechtfertigen, die ein normaler User nie im Leben machen würde. z. B. bei Garantie-Fällen/Ansprüchen (GPU-Chips, Akkus, etc.).

        Auch die Intensität & Vielzahl Deiner Beiträge lässt folgende Mutmaßungen zu:
        a) Du arbeitest formell für einen Arbeitgeber, jedoch statt für ihn wirklich zu arbeiten postest Du hier permanent Pro-Apfel-Prosa in das Forum (Produktivität gen Null, Gehalt ohne Gegenleistung)
        b) Du wirst vom Apfel hauptamtlich für positive Beiträge anhand der Beitrags-Anzahl bezahlt

        So kommt Dein Verhalten bei mir an. Und – nicht nur bei mir.

        • Am 9. Juli 2016 um 14:30 von RoyH

          c) Er ist selbstständiger Programmierer der auf den nächsten Auftrag wartet, und wartet, und…
          d) Er ist Rentner und verdient sich ein paar Franken nebenbei.

          Ich glaube nicht das b) zutrifft. Ich traue ja Apple viel zu aber nicht das sie einen Schreiberling anstellen der hier des öfteren auch mal ausfällig wird. Wenn er von Apple wäre würde er wie Apple zu negativen Beiträge gar nichts schreiben. Denn erst seine krasse Reaktion bewirkt ja das das Thema in die Länge gezogen wird und dann wirklich jeder was dazu schreibt.
          Also ich tippe auf c.

          • Am 9. Juli 2016 um 16:08 von PeerH

            Und noch zwei Kommentare mehr, die Null Bezug zum Thema haben, und vor Unterstellungen strotzen. Nicht jeder, der anderer Meinung ist, als vier Apple-Hasser, ist bezahlt. Bei eurer Eunstellung müsstet ihr die halbe Welt verdächtigen – nämlich jeden, der nicht eurer Meinung ist. ;-)

            Und die andere Hälfte? Die seht ihr auf eurer Seite, und denkt, sie würden euren Kreuzzug unterstützen. Imdes: ich wäre da nicht so sicher.

            Kurz: ihr seid lustig. Insbesondere eure Unfähigkeit zur Selbstreflexion ist wirklich komisch.

      • Am 9. Juli 2016 um 16:27 von Judas Ischias

        @PeerH,
        ich merke wenn es irgendwie geht keine Rechtschreibfehler an, weil man sich viel zu schnell selbst darin verfangen kann.
        Außerdem weiß ich nicht ob es z.B. eine Person aus dem Ausland ist, deren Deutschkenntnisse noch gering sind, die aber trotzdem hier kommentieren möchte, oder eine Person deren Deutschkenntnisse mangelhaft sind, weil sie vielleicht eine Rechtschreibschwäche haben, die aber trotzdem den Mut haben hier mitzumachen.
        Solchen Leuten kann man durch rüpelhafte Oberlehrer-Kommentare, wie Du sie schon mehrmals abgelassen hast, auch mal sehr schnell den Mut nehmen, sich hier oder auch im „normalen Leben“ weiter zu äußern.
        Wogegen es bei Dir eindeutig an mangelnder Sorgfalt liegt.

        Und meine Vermutung ist eher, dass die Redakteure intelligent genug sind, um sich auf so wenig Diskussionen wie möglich mit Dir einzulassen, weil sie wissen, dass ellenlange Diskussionen mit Dir sowieso nichts bringen.
        Der Herr Kalenda hat sich bei Dir ja schon vergebens abgemüht.

        Wie viele Kommentare hast Du eigentlich schon hinterlassen, die mit dem Thema überhaupt nichts zu tun hatten, bzw. das Thema nur mit einem nebensächlichen Satz erwähnt wurde, um dann in einem langen Text über all Deine Lieblingsgegner, Samsung, MS, Google und Android herzuziehen?
        Ach ja, etliche Kommentatoren hab ich noch vergessen, die Du mit Vorliebe beleidigst.
        Wenn Du so cool wärst, wie Du Dich immer darstellt, würdest Du doch eigentlich über solchen Dingen stehen (müssen).
        Aber Du springst sofort, wie angestochen, drauf an.

        @ckOne,
        ich gebe auch bei so schweren Einzelschicksalen die Hoffnung auf Besserung nicht auf.;)
        Obwohl es PeerH wirklich gewaltig an Toleranz, Fingerspitzengefühl, Gelassenheit, die er auch selbst immer predigt, und Manieren fehlt.

        @C + @RoyH,
        PeerH bekommt für diese schlechten Beiträge kein Geld, damit schreckt man höchstens unentschlossene Kunden ab.;)
        Er schreibt aus reinem Spaß an der Freude.
        Na ja, überwiegend zu seiner Freude, weniger zur Freude vieler anderer Leser. ;)

        • Am 9. Juli 2016 um 20:48 von PeerH

          Wieviele, die nicht zum Thema gehörten? Keine?

          Bei Dir war das nun +1, einer mehr. Was mich nicht verwundert, weil Du vom Thema ja nachgewiesenermaßen wenig verstehst. Bei diesem Thema würde ich jede Summe wetten, dass Du erst mal Nachhilfe brauchst, um überhaupt zu verstehen, wo das Problem liegt. . ;-)

          Was nicht schlimm ist, niemand weiß alles, aber: die meisten, die nichts davon verstehen, die schreiben keine Kommentare. Du bis da ‚anders‘.

          • Am 10. Juli 2016 um 11:35 von RoyH

            @Perrh: Wieviele, die nicht zum Thema gehörten? Keine?
            Ha, ha… Allein in diesem kurzen Thread hat er drei Kommentare die nur mit seiner Selbstdarstellung und der Beschimpfung von uns „anderen“ zu tun hat und absolut nicht zum eigentlichen Thema.
            Aber mach ruhig so weiter mein Schatz PeerH. Zur Belustigung taugen deine Kommentare immer.

          • Am 10. Juli 2016 um 13:38 von PeerH

            Womit Du uns überzeugt hast, dass Du bis Drei zählen kannst. Danke. Aber der Nachweis, dass Du den Artikel inhaltlich erfasst hast, der steht weiterhin aus.

          • Am 11. Juli 2016 um 11:46 von RoyH

            Ja klar mein Schatz, hier im Forum bist du der Einzige der die sachlichen Inhalte der Artikel zu begreift. Selbst die Autoren der Artikel musst du noch korrigieren weil die einfach nicht in der Lage sind die Artikel in deinem (Apple)Sinne zu verfassen. Richtig so. Mache einfach weiter. Eine bessere Negativ-Werbung für Apple gibt es nicht.

  • Am 9. Juli 2016 um 9:49 von ckOne

    @JI
    Setzt du jetzt nicht etwas bei PeerH voraus, was er oft vermissen lässt ?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *