Categories: SicherheitVirus

Forscher warnen vor Rückkehr der Mac-Adware OSX.Pirrit

Der Sicherheitsanbieter Cybereason warnt Mac-Nutzer vor einer neuen Variante der Mac-Adware OSX.Pirrit. Für die insgesamt dritte Angriffswelle seit ihrer ersten Entdeckung im April 2016 setzen die Hintermänner nach Angaben des Unternehmens nicht nur auf die Einblendung unerwünschter Werbung, sondern auch auf neue „Charakteristika, die man gewöhnlich von Malware“ kennt. Unter anderem soll OSX.Pirrit nun in der Lage sein, sich auf einem infizierten Mac Root-Rechte zu verschaffen.

Schon 2016 habe die Adware über malwareartige Funktionen verfügt, führt Amit Serper, Principal Security Researcher bei Cybereason, in einem Blogeintrag aus. Ihr Herausgeber, ein Unternehmen namens TargetingEdge, habe sie inzwischen neu programmiert.

„Ich wollte wissen, ob OSX.Pirrit immer noch aktiv ist und sich verbreitet und habe kürzlich wieder eine Untersuchung gestartet“, sagte Serper. „Und zu meiner Überraschung ist sie sehr aktiv. Sie infiziert nicht nur die Macs von Nutzern, die Autoren von OSX.Pirrit haben auch aus einem ihrer Fehler gelernt.“

Um die Kontrolle über den Browser zu übernehmen, installierte die Adware früher ein schädliches Browser-Plug-ins oder richtete auf dem Mac eines Opfers einen Proxy-Server ein. Die neue Version nutzt stattdessen Apples Skriptsprache AppleScript. „Und wie ihre Vorgänger ist auch die neue Variante fies“, ergänzte Serper. OSX.Pirrit überschütte seine Opfer nicht nur mit Werbung, „es spioniert sie aus und läuft mit Root-Rechten“.

TargetingEdge, ein Anbieter von Werbetechniken, stuft seine Software indes nicht als gefährlich ein. Um eine erneute Berichterstattung durch Cybereason zu verhindern, soll das Unternehmen mehrere Unterlassungserklärungen gegen den Sicherheitsanbieter beantragt haben. „Cybereason hat einige Unterlassungserklärungen von einer Firma erhalten, die angibt, der Rechtsvertreter von TargetingEdge zu sein“, so Serper weiter. „Sie fordern, dass wir die Software von TargetingEdge nicht mehr als Malware bezeichnen und diesen Bericht nicht veröffentlichen.“

Serper hält dem entgegen, dass laut Virustotal 28 weitere Sicherheitsanbieter die Software von TargetingEdge als schädlich einstufen. Die Software nutze Apple Script, um JavaScript-Code direkt im Browser auszuführen, was eine von Malware entliehene Taktik sei, um der Erkennung durch Sicherheitssoftware zu entgehen. „Es gibt keinen Unterschied zwischen herkömmlicher Malware, die Daten ihrer Opfer stiehlt, und Adware, die das Surfverhalten ausspioniert und sie mit Anzeigen versorgt für gefälschte Antivirenprogramme oder betrügerischen Apple-Support.“

Darüber hinaus lege OSX.Pirrit Autostarteinträge an und generiere bei der Installation immer wieder neue Namen für sich. Es gebe auch keine Anleitung des Herstellers zum Entfernen der Software. Zudem versuchten sich einige Komponenten der Adware als legitime Software von Apple auszugeben.

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

[mit Material von Tom Jowitt, Silicon.co.uk]

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Verteiltes SQL: Hochverfügbarkeit für Unternehmen

Verteiltes SQL ist die erste Wahl, wenn Unternehmen hochverfügbare, elastische und leicht skalierbare Datenbanken mit…

5 Minuten ago

Allianz für weiteres Wachstum: TIMETOACT GROUP erwirbt Transformationsexperten PKS

Führender Anbieter von IT-Dienstleistungen für Mittelständler, Konzerne und öffentliche Einrichtungen im DACH-Raum erwirbt Software-Transformationsexperten.

3 Stunden ago

CrowdStrike: Verbreitung von Linux-Malware nimmt zu

Das Plus liegt im Vergleich zu 2020 bei rund 35 Prozent. Am häufigsten kommen die…

19 Stunden ago

Auch moderne Smartphones von Sicherheitslücken in 2G-Netzwerken betroffen

Google bietet nun in Android 12 grundsätzlich die Option, 2G-Netze nicht zu nutzen. Die EFF…

20 Stunden ago

Microsoft: Gegen Ukraine eingesetzte Malware ist keine Ransomware

Sie ersetzt den Master Boot Record durch eine Lösegeldforderung. Die Malware besitzt jedoch keine Funktion,…

2 Tagen ago

ASM hilft Risiken priorisieren

Die Marktforscher von Forrester erklären das Thema Attack Surface Management (ASM) zum neuen Trend aus.…

2 Tagen ago