Categories: BetriebssystemCyberkriminalitätPolitikRegulierungSicherheitVirusWorkspace

Neue Mac-Malware Leverage stammt wohl von Syrian Electronic Army

Heruntergeladenes Wappen der SEA

Intego hat einen neuen Trojaner namens OSX/Leverage.A für Mac OS aufgespürt, der Spuren nach Syrien und zur von dort aus operierenden Hackergruppe Syrian Electronic Army enthält. Er öffne den Angreifern eine Hintertür und sei offenbar für gezielte Angriffe eingesetzt worden, heißt es. Eine Infektionswelle ist nicht zu erwarten: „Die Bedrohungsstufe scheint niedrig.“

Heruntergeladenes Wappen der SEA

Die Malware testet auf Gastsystemen zunächst, ob eine aktive Internetverbindung besteht. Wenn ja, lädt sie – möglicherweise als an den Kommandoserver gerichtete Statusmeldung – ein Bild der Syrian Electronic Army herunter. Wie sie verteilt wird, ist unklar – möglicherweise per E-Mail-Phishing oder ein Watering Hole, also einen von der Zielgruppe gern genutzten, von den Angreifern manipulierten Server. Die Syrian Electronic Army hat beide Verfahren schon genutzt.

Irgendwelche gefährlichen Aktionen scheint das Schadprogramm nicht auszuführen, es tarnt sich aber Intego zufolge beim Download geschickt: „Der Mac-Trojaner verbirgt sich vor dem Dock und einem Wechsel von Anwendungen durch Cmd-Tab. Dann öffnet er ein Foto in der Standard-Bildervorschau von OS X, um den Anwender glauben zu machen, er habe gerade nur ein Bild heruntergeladen.“ Dabei handelt es sich natürlich nicht um das vorher erwähnte Wappen der SEA, sondern ein Foto eines Paares, das sich gerade küsst.

Tarnbild der Mac-Malware Leverage (Screenshot: Intego)

Auch wenn kein direkter Angriff durch das Programm erfolgt, bereitet es den Boden für einen solchen: „Die Trojaner-Applikation installiert eine dauerhafte Hintertür, über die ein Angreifer eine Reihe von befehlen senden kann“, heißt es.

Intego gibt in Verbindung mit dem Hinweis nur allgemeine Ratschläge: Nutzer sollten Software, Betriebssystem, Browser und Plug-ins wie Flash oder Java jederzeit aktuell halten. Die aktuellen Virendefinitionen für sein Programm Intego VirusBarrier enthalten OSX/Leverage.A bereits.

Bekannte Nachrichtensites und journalistische Angebote zählen zu den bevorzugten Opfern der syrischen Hackergruppe, die den amtierenden Präsidenten Baschar al-Assad unterstützt. Darunter waren dieses Jahr schon die Associated Press, die BBC, der Guardian und Thomson Reuters. In der Mehrzahl der Fälle gelangten die Angreifer durch Spear-Phishing-Mails an Twitter-Zugangsdaten.

[mit Material von Tom Brewster, TechWeekEurope.co.uk]

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.