Auf die Meldung eines ausgeklügelten Mac-Trojaners namens OSX.Dok folgt die Entdeckung einer weiteren Variante des OSX.Dok-Droppers. Das ursprüngliche OSX.Dok wurde letzte Woche von Check Point gemeldet, verbreitete sich über E-Mail-Anhänge und konnte auf infizierten Systemen selbst gesicherte HTTPS-Verbindungen belauschen. Ein Sicherheitsforscher von Malwarebytes berichtet jetzt von einer Variante des Trägerprogramms, die sich ganz unterschiedllich verhält und eine ganz andere Schadsoftware installiert.
Auch dieser Dropper ist als Anwendung namens Dokument.app in einem Archiv verpackt und versucht sich als Dokument zu tarnen. Signiert ist diese mit demselben Zertifikat wie zuvor, dessen Gültigkeit inzwischen von Apple aufgehoben wurde. Wie die vorhergehende Variante kopiert sie sich selbst zu /Users/Shared/AppStore.app und gibt dieselbe Warnung aus, die eine beschädigte Anwendung vorgibt.
Die neue Variante zeigt jedoch nie das gefälschte Fenster über angeblich erhältliche OSX-Updates, das den ganzen Bildschirm einnimmt. Stattdessen schließt sie sich nach ungefähr einer Minute und löscht sich selbst. Statt OSX.Dok zu installieren, richtet sie eine Open-Source-Hintertür namens Bella ein.
Bella wurde von einem Autor geschaffen, der sich auf GitHub nur als „Noah“ bezeichnet. Er veröffentlichte dort Python-Scripts, die beispielsweise iCloud-Anmeldedaten oder Kreditkarteninformationen aus Chrome abgreifen können. Bei dem im Februar dieses Jahres veröffentlichten Bella handelt sich sich um ein Python-Script mit weitreichenden Fähigkeiten. Dazu zählen Passwort-Phishing, das Mitschneiden von Mikrofon- und Webcam-Aufnahmen, die Anfertigung von Screenshots sowie die Exfiltration von Keychain und iMessage-Protokollen. Bis macOS 10.12.1 kann es sich über Schwachstellen im Betriebssystem sogar Root-Berichtigungen holen.
Ein Script namens Builder erlaubt die Anpassung von Bella. Die hier entdeckte Version wurde für die Verbindungsaufnahme mit einem bestimmten Kommando- und Kontrollserver konfiguriert, dessen IP-Adresse auf Moskau verweist. Unklar ist, ob der Bella-Autor selbst mit den Angreifern zu tun hat. Seine Scripts könnten einfach von Hackern für ihre Zwecke eingesetzt worden sein, da die Software als Open Source frei verfügbar ist.
Malwarebytes bezeichnet diese Malware als OSX.Bella. Beruhigend ist, dass sie seit dem Widerruf des Code-Signing-Zertifikats nicht mehr für neue Infektionen sorgen kann. Wer jedoch zuvor infiziert wurde, sollte nach Entfernung der Schadsoftware auch alle Passwörter ändern. Geschäftliche Nutzer weisen die Sicherheitsforscher darauf hin, dass diese Malware in der Lage ist, Unternehmensdaten in großem Umfang abzugreifen.
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
iPhones und iPads belasten das Ergebnis. Außerdem schwächelt Apple im gesamten asiatischen Raum inklusive China…
Die Anzeigen richten sich an IT-Teams und Administratoren. Ziel ist der Zugriff auf IT-Systeme.
Betroffen sind Windows 10 und Windows 11. Laut Microsoft treten unter Umständen VPN-Verbindungsfehler auf. Eine…
Server-CPUs und Server-GPUs legen deutlich zu. Das Gaming-Segment schwächelt indes.
Zwei Use-after-free-Bugs stecken in Picture In Picture und der WebGPU-Implementierung Dawn. Betroffen sind Chrome für…
