Neue Variante der Malware OSX.Dok entdeckt

Das in der letzten Woche gemeldete OSX.Dok kann auf infizierten Macs selbst gesicherte HTTPS-Verbindungen belauschen. Eine neue Dropper-Variante richtet jetzt die Open-Source-Hintertür Bella ein. Apple hat die Gültigkeit des in beiden Fällen eingesetzten Zertifikats inzwischen aufgehoben.

Auf die Meldung eines ausgeklügelten Mac-Trojaners namens OSX.Dok folgt die Entdeckung einer weiteren Variante des OSX.Dok-Droppers. Das ursprüngliche OSX.Dok wurde letzte Woche von Check Point gemeldet, verbreitete sich über E-Mail-Anhänge und konnte auf infizierten Systemen selbst gesicherte HTTPS-Verbindungen belauschen. Ein Sicherheitsforscher von Malwarebytes berichtet jetzt von einer Variante des Trägerprogramms, die sich ganz unterschiedllich verhält und eine ganz andere Schadsoftware installiert.

Malware (Bild: Maksim Kabakou/Shutterstock)

Auch dieser Dropper ist als Anwendung namens Dokument.app in einem Archiv verpackt und versucht sich als Dokument zu tarnen. Signiert ist diese mit demselben Zertifikat wie zuvor, dessen Gültigkeit inzwischen von Apple aufgehoben wurde. Wie die vorhergehende Variante kopiert sie sich selbst zu /Users/Shared/AppStore.app und gibt dieselbe Warnung aus, die eine beschädigte Anwendung vorgibt.

Die neue Variante zeigt jedoch nie das gefälschte Fenster über angeblich erhältliche OSX-Updates, das den ganzen Bildschirm einnimmt. Stattdessen schließt sie sich nach ungefähr einer Minute und löscht sich selbst. Statt OSX.Dok zu installieren, richtet sie eine Open-Source-Hintertür namens Bella ein.

Bella wurde von einem Autor geschaffen, der sich auf GitHub nur als „Noah“ bezeichnet. Er veröffentlichte dort Python-Scripts, die beispielsweise iCloud-Anmeldedaten oder Kreditkarteninformationen aus Chrome abgreifen können. Bei dem im Februar dieses Jahres veröffentlichten Bella handelt sich sich um ein Python-Script mit weitreichenden Fähigkeiten. Dazu zählen Passwort-Phishing, das Mitschneiden von Mikrofon- und Webcam-Aufnahmen, die Anfertigung von Screenshots sowie die Exfiltration von Keychain und iMessage-Protokollen. Bis macOS 10.12.1 kann es sich über Schwachstellen im Betriebssystem sogar Root-Berichtigungen holen.

Ein Script namens Builder erlaubt die Anpassung von Bella. Die hier entdeckte Version wurde für die Verbindungsaufnahme mit einem bestimmten Kommando- und Kontrollserver konfiguriert, dessen IP-Adresse auf Moskau verweist. Unklar ist, ob der Bella-Autor selbst mit den Angreifern zu tun hat. Seine Scripts könnten einfach von Hackern für ihre Zwecke eingesetzt worden sein, da die Software als Open Source frei verfügbar ist.

Malwarebytes bezeichnet diese Malware als OSX.Bella. Beruhigend ist, dass sie seit dem Widerruf des Code-Signing-Zertifikats nicht mehr für neue Infektionen sorgen kann. Wer jedoch zuvor infiziert wurde, sollte nach Entfernung der Schadsoftware auch alle Passwörter ändern. Geschäftliche Nutzer weisen die Sicherheitsforscher darauf hin, dass diese Malware in der Lage ist, Unternehmensdaten in großem Umfang abzugreifen.

ANZEIGE

Wie Sie mit digitalen Workflows Ihre Geschäftsprozesse agiler machen.

Gerade für mittelständische Unternehmen ist es entscheidend, dass Dokumentenprozesse ohne hohen Consulting- und Customizing-Aufwand umgestellt und digitalisiert werden. In diesem E-Book stellen wir Ihnen die Möglichkeiten digitaler Dokumentenprozesse vor und zeigen, wie eine standardisierte und skalierbare Lösung speziell für den Mittelstand aussehen kann.

Themenseiten: Apple, Malware, Malwarebytes, macOS

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Neue Variante der Malware OSX.Dok entdeckt

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *