Auf die Meldung eines ausgeklügelten Mac-Trojaners namens OSX.Dok folgt die Entdeckung einer weiteren Variante des OSX.Dok-Droppers. Das ursprüngliche OSX.Dok wurde letzte Woche von Check Point gemeldet, verbreitete sich über E-Mail-Anhänge und konnte auf infizierten Systemen selbst gesicherte HTTPS-Verbindungen belauschen. Ein Sicherheitsforscher von Malwarebytes berichtet jetzt von einer Variante des Trägerprogramms, die sich ganz unterschiedllich verhält und eine ganz andere Schadsoftware installiert.
Auch dieser Dropper ist als Anwendung namens Dokument.app in einem Archiv verpackt und versucht sich als Dokument zu tarnen. Signiert ist diese mit demselben Zertifikat wie zuvor, dessen Gültigkeit inzwischen von Apple aufgehoben wurde. Wie die vorhergehende Variante kopiert sie sich selbst zu /Users/Shared/AppStore.app und gibt dieselbe Warnung aus, die eine beschädigte Anwendung vorgibt.
Die neue Variante zeigt jedoch nie das gefälschte Fenster über angeblich erhältliche OSX-Updates, das den ganzen Bildschirm einnimmt. Stattdessen schließt sie sich nach ungefähr einer Minute und löscht sich selbst. Statt OSX.Dok zu installieren, richtet sie eine Open-Source-Hintertür namens Bella ein.
Bella wurde von einem Autor geschaffen, der sich auf GitHub nur als „Noah“ bezeichnet. Er veröffentlichte dort Python-Scripts, die beispielsweise iCloud-Anmeldedaten oder Kreditkarteninformationen aus Chrome abgreifen können. Bei dem im Februar dieses Jahres veröffentlichten Bella handelt sich sich um ein Python-Script mit weitreichenden Fähigkeiten. Dazu zählen Passwort-Phishing, das Mitschneiden von Mikrofon- und Webcam-Aufnahmen, die Anfertigung von Screenshots sowie die Exfiltration von Keychain und iMessage-Protokollen. Bis macOS 10.12.1 kann es sich über Schwachstellen im Betriebssystem sogar Root-Berichtigungen holen.
Ein Script namens Builder erlaubt die Anpassung von Bella. Die hier entdeckte Version wurde für die Verbindungsaufnahme mit einem bestimmten Kommando- und Kontrollserver konfiguriert, dessen IP-Adresse auf Moskau verweist. Unklar ist, ob der Bella-Autor selbst mit den Angreifern zu tun hat. Seine Scripts könnten einfach von Hackern für ihre Zwecke eingesetzt worden sein, da die Software als Open Source frei verfügbar ist.
Malwarebytes bezeichnet diese Malware als OSX.Bella. Beruhigend ist, dass sie seit dem Widerruf des Code-Signing-Zertifikats nicht mehr für neue Infektionen sorgen kann. Wer jedoch zuvor infiziert wurde, sollte nach Entfernung der Schadsoftware auch alle Passwörter ändern. Geschäftliche Nutzer weisen die Sicherheitsforscher darauf hin, dass diese Malware in der Lage ist, Unternehmensdaten in großem Umfang abzugreifen.
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
Der digitale Wandel hat die Art und Weise verändert, wie Verbraucherrechte gehandhabt werden. Insbesondere in…
Chrome speichert Passkeys nun auch unter Windows, macOS und Linux im Google Passwortmanager. Dadurch stehen…
In einem klimatisierten Büro mag ein herkömmlicher Laptop großartig sein, aber was passiert, wenn der…
Betroffen ist derzeit offenbar nur das iPad Pro M4. Es lässt sich Berichten von Nutzern…
Die EU-Kommission kann die Entscheidung noch anfechten. Das Gericht der Europäischen Union kassiert lediglich die…
Hacker können aus der Ferne Schadcode einschleusen und ausführen. Betroffen sind Chrome für Windows, macOS…
