Forscher warnen vor Rückkehr der Mac-Adware OSX.Pirrit

Der Sicherheitsanbieter Cybereason warnt Mac-Nutzer vor einer neuen Variante der Mac-Adware OSX.Pirrit. Für die insgesamt dritte Angriffswelle seit ihrer ersten Entdeckung im April 2016 setzen die Hintermänner nach Angaben des Unternehmens nicht nur auf die Einblendung unerwünschter Werbung, sondern auch auf neue „Charakteristika, die man gewöhnlich von Malware“ kennt. Unter anderem soll OSX.Pirrit nun in der Lage sein, sich auf einem infizierten Mac Root-Rechte zu verschaffen.

Schon 2016 habe die Adware über malwareartige Funktionen verfügt, führt Amit Serper, Principal Security Researcher bei Cybereason, in einem Blogeintrag aus. Ihr Herausgeber, ein Unternehmen namens TargetingEdge, habe sie inzwischen neu programmiert.

„Ich wollte wissen, ob OSX.Pirrit immer noch aktiv ist und sich verbreitet und habe kürzlich wieder eine Untersuchung gestartet“, sagte Serper. „Und zu meiner Überraschung ist sie sehr aktiv. Sie infiziert nicht nur die Macs von Nutzern, die Autoren von OSX.Pirrit haben auch aus einem ihrer Fehler gelernt.“

Um die Kontrolle über den Browser zu übernehmen, installierte die Adware früher ein schädliches Browser-Plug-ins oder richtete auf dem Mac eines Opfers einen Proxy-Server ein. Die neue Version nutzt stattdessen Apples Skriptsprache AppleScript. „Und wie ihre Vorgänger ist auch die neue Variante fies“, ergänzte Serper. OSX.Pirrit überschütte seine Opfer nicht nur mit Werbung, „es spioniert sie aus und läuft mit Root-Rechten“.

TargetingEdge, ein Anbieter von Werbetechniken, stuft seine Software indes nicht als gefährlich ein. Um eine erneute Berichterstattung durch Cybereason zu verhindern, soll das Unternehmen mehrere Unterlassungserklärungen gegen den Sicherheitsanbieter beantragt haben. „Cybereason hat einige Unterlassungserklärungen von einer Firma erhalten, die angibt, der Rechtsvertreter von TargetingEdge zu sein“, so Serper weiter. „Sie fordern, dass wir die Software von TargetingEdge nicht mehr als Malware bezeichnen und diesen Bericht nicht veröffentlichen.“

Serper hält dem entgegen, dass laut Virustotal 28 weitere Sicherheitsanbieter die Software von TargetingEdge als schädlich einstufen. Die Software nutze Apple Script, um JavaScript-Code direkt im Browser auszuführen, was eine von Malware entliehene Taktik sei, um der Erkennung durch Sicherheitssoftware zu entgehen. „Es gibt keinen Unterschied zwischen herkömmlicher Malware, die Daten ihrer Opfer stiehlt, und Adware, die das Surfverhalten ausspioniert und sie mit Anzeigen versorgt für gefälschte Antivirenprogramme oder betrügerischen Apple-Support.“

Darüber hinaus lege OSX.Pirrit Autostarteinträge an und generiere bei der Installation immer wieder neue Namen für sich. Es gebe auch keine Anleitung des Herstellers zum Entfernen der Software. Zudem versuchten sich einige Komponenten der Adware als legitime Software von Apple auszugeben.

[mit Material von Tom Jowitt, Silicon.co.uk]

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.