Tibet.A nutzt anscheinend dieselbe Schwachstelle, die auch der Mac-OS-X-Trojaner Flashback verwendet hat. Ein Patch dafür ist verfügbar, sodass aktualisierte Systeme nicht betroffen sind. Zudem ist ein neuer Exploit aufgetaucht, der eine alte Lücke in Office unter Mac OS ausnutzt. Microsoft hatte sie in einer Sicherheitsmeldung vom Juni 2009 detailliert beschrieben und kurz darauf geschlossen.
Nach Angaben von AlienVault Labs dürften beide Schadprogramme von derselben Gruppe stammen. Der Sicherheitsanbieter hat auch Tibet.A überwacht. Ziel der Angreifer sind demnach augenscheinlich gemeinnützige Organisationen aus Tibet.
In beiden Fällen versucht die Malware, Kommando- und Kontrollserver zu kontaktieren, um Anweisungen zu erhalten. Bei Tibet.A werden Nutzer auf eine Webseite gelockt, die Schadcode enthält. Beim zweiten Exploit müssen Anwender eine infizierte Word-Datei öffnen, die vermutlich via Spam in Umlauf gebracht wurde. Es funktioniert zweistufig: Über ein Script wird ein Trojaner auf der Festplatte abgelegt. Dann wird ein Shell-Script gestartet, das die Malware ausführt. Zudem öffnet sich ein Word-Dokument mit einem politischen Statement zur Situation in Tibet.
Ist Tibet.A erst installiert, versucht es, Screenshots zu erstellen und Informationen zu sammeln, die es an einen Remote-Server sendet. Die Software lädt ein Java-Applet herunter, wenn eine infizierte Webseite besucht wird, und installiert eine Hintertür. URLs, die auf solche Seiten verweisen, kamen demnach per Spam-Mail beim Empfänger an. Entdeckt worden war der Trojaner vergangene Woche von Intego.
Nach Angaben der Sicherheitsforscher greift Tibet.A sowohl Windows- als auch Mac-OS-Systeme an. Allem Anschein nach identifiziert die infizierte Webseite die verwendete Plattform und verschickt die dazu passenden Binärdateien.
Wie bei Flashback benötigt der Trojaner lediglich Zugriff auf das Benutzerkonto eines Anwenders; ein Passwort ist nicht nötig. Einzige Voraussetzung für einen erfolgreichen Angriff ist eine veraltete Java-Version im Browser. Vermeiden lässt eine Attacke allerdings recht simpel: Indem man Java blockiert oder ein System-Update durchführt.
Zudem lassen sich folgende Kommandos im OS-X-Terminal ausführen, um die Malware zu entfernen:
sudo rm /Applications/Automator.app/Contents/MacOS/DockLight
sudo rm /Library/launchd
Ab Werk blockiert Chrome Cookies von Dritten nun frühestens ab Anfang 2025. Unter anderem gibt…
Die Vorfreude steigt, denn BAUMLINK wird als Partner und Aussteller bei der Tech Show 2024…
Nutzung einer unternehmenseigenen GPT-Umgebung für sicheren und datenschutzkonformen Zugriff.
Der Umsatz steigt um 15 Prozent, der Nettogewinn um 57 Prozent. Im nachbörslichen Handel kassiert…
Aus 61,9 Milliarden Dollar generiert das Unternehmen einen Nettoprofit von 21,9 Milliarden Dollar. Das größte…
Mehr Digitalisierung wird von den Unternehmen gefordert. Für KMU ist die Umsetzung jedoch nicht trivial,…