Tibet.A nutzt anscheinend dieselbe Schwachstelle, die auch der Mac-OS-X-Trojaner Flashback verwendet hat. Ein Patch dafür ist verfügbar, sodass aktualisierte Systeme nicht betroffen sind. Zudem ist ein neuer Exploit aufgetaucht, der eine alte Lücke in Office unter Mac OS ausnutzt. Microsoft hatte sie in einer Sicherheitsmeldung vom Juni 2009 detailliert beschrieben und kurz darauf geschlossen.
Nach Angaben von AlienVault Labs dürften beide Schadprogramme von derselben Gruppe stammen. Der Sicherheitsanbieter hat auch Tibet.A überwacht. Ziel der Angreifer sind demnach augenscheinlich gemeinnützige Organisationen aus Tibet.
In beiden Fällen versucht die Malware, Kommando- und Kontrollserver zu kontaktieren, um Anweisungen zu erhalten. Bei Tibet.A werden Nutzer auf eine Webseite gelockt, die Schadcode enthält. Beim zweiten Exploit müssen Anwender eine infizierte Word-Datei öffnen, die vermutlich via Spam in Umlauf gebracht wurde. Es funktioniert zweistufig: Über ein Script wird ein Trojaner auf der Festplatte abgelegt. Dann wird ein Shell-Script gestartet, das die Malware ausführt. Zudem öffnet sich ein Word-Dokument mit einem politischen Statement zur Situation in Tibet.
Ist Tibet.A erst installiert, versucht es, Screenshots zu erstellen und Informationen zu sammeln, die es an einen Remote-Server sendet. Die Software lädt ein Java-Applet herunter, wenn eine infizierte Webseite besucht wird, und installiert eine Hintertür. URLs, die auf solche Seiten verweisen, kamen demnach per Spam-Mail beim Empfänger an. Entdeckt worden war der Trojaner vergangene Woche von Intego.
Nach Angaben der Sicherheitsforscher greift Tibet.A sowohl Windows- als auch Mac-OS-Systeme an. Allem Anschein nach identifiziert die infizierte Webseite die verwendete Plattform und verschickt die dazu passenden Binärdateien.
Wie bei Flashback benötigt der Trojaner lediglich Zugriff auf das Benutzerkonto eines Anwenders; ein Passwort ist nicht nötig. Einzige Voraussetzung für einen erfolgreichen Angriff ist eine veraltete Java-Version im Browser. Vermeiden lässt eine Attacke allerdings recht simpel: Indem man Java blockiert oder ein System-Update durchführt.
Zudem lassen sich folgende Kommandos im OS-X-Terminal ausführen, um die Malware zu entfernen:
sudo rm /Applications/Automator.app/Contents/MacOS/DockLight
sudo rm /Library/launchd
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
iPhones und iPads belasten das Ergebnis. Außerdem schwächelt Apple im gesamten asiatischen Raum inklusive China…
Die Anzeigen richten sich an IT-Teams und Administratoren. Ziel ist der Zugriff auf IT-Systeme.
Betroffen sind Windows 10 und Windows 11. Laut Microsoft treten unter Umständen VPN-Verbindungsfehler auf. Eine…