Trend Micro warnt vor Word-Dateien mit Mac-Backdoor

Der Schadcode gelangt über ein zu aktivierendes Macro auf ein System. Betroffen sind allerdings nur Macs, auf denen die Programmiersprache Perl installiert ist. Die Backdoor richtet sich dauerhaft auch ohne Root-Rechte auf einem Mac ein und stiehlt vertrauliche Daten.

Trend Micro weist auf eine neue Schadsoftware für Apples macOS hin, die sich derzeit über speziell gestaltete Word-Dokumente verbreitet. Sie richtet sich speziell gegen Macs, auf denen die Programmiersprache Perl installiert ist. Ihre Aufgabe ist es, Macs dauerhaft zu kompromittieren, zu überwachen und Daten zu sammeln.

Malware (Bild: Maksim Kabakou/Shutterstock)Der als OSX_OCEANLOTUS.D bezeichnete Schädling wird den Forschern zufolge wahrscheinlich per E-Mail verbreitet – bisher offenbar nur im Rahmen einer Spear-Phishing-Kampagne. Das infizierte Word-Dokument gibt vor, von einer vietnamesischen Organisation namens HDMC zu stammen, die sich für Demokratie und nationale Unabhängigkeit einsetzt.

Öffnet ein Opfer die Word-Datei, wird er aufgefordert, die Ausführung von Makros zu aktivieren, was die Hintertür ausführt und einen Dropper sowie eine schädliche XML-Datei in Systemordner einschleust. Der Dropper wiederum führt seine Aufgaben auch dann aus, wenn der aktive Nutzer nicht als Root angemeldet ist. In dem Fall passt er den Download-Ordner an.

Schließlich richtet die Backdoor einen Autostarteintrag ein, um sicherzustellen, dass sie bei jedem Systemstart ausgeführt wird. Ihre Dateiattribute setzt die Backdoor auf „versteckt“. Zudem soll ein zufälliges Dateidatum eine Erkennung erschweren. Nach Abschluss der Installation löscht sich der Dropper, um keinen Verdacht zu erwecken.

Die Backdoor selbst verfügt über zwei Komponenten. Während ein Prozess Daten über das System sammelt, verschlüsselt an einen Befehlsserver überträgt und dessen Anweisungen ausführt, hält ein weiterer Prozess die eigentliche Hintertür offen.

Trend Micro ordnet die Backdoor einer OceanLotus genannten Hackergruppe zu, die auch als SeaLotus oder Cobalt Kitty bezeichnet wird. Sie wird mit Angriffen auf Menschenrechtsorganisationen, Medienunternehmen, Forschungseinrichtungen und Unternehmen in Verbindung gebracht.

Eset geht davon aus, dass OceanLotus von Asien aus agiert und Ziele in Vietnam, Laos, Kambodscha und auf den Philippinen ins Visier nimmt. Der Sicherheitsanbieter Volexity untersucht die Aktivitäten von OceanLotus sogar bereits seit 2015.

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

HIGHLIGHT

Report: Entwicklung der Cloud-Nutzung

McAfee befragte im Rahmen der jährlichen Forschungsstudie zur Cloud-Sicherheit und der Migration zur Cloud mehr als 1.400 IT-Experten. Dieser Bericht zeigt den Stand der Dinge bei Cloud-Sicherheit auf und bietet praktische Hinweise. Jetzt herunterladen!

Themenseiten: Hacker, Malware, Security, Sicherheit, Trend Micro

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Trend Micro warnt vor Word-Dateien mit Mac-Backdoor

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *