Windows-App umgeht Gatekeeper und infiziert Macs mit Malware

Die EXE-Datei verstecken die Cyberkriminellen in einer Setup-Datei für macOS. Sie nutzten den Umstand, dass Gatekeeper EXE-Dateien als nicht ausführbar ansieht und deswegen nicht kontrolliert. Die Setup-Datei enthält jedoch das Mono-Framework, was die Ausführung der Datei ermöglicht.

Trend Micro hat eine neue Schadsoftware für Apples Desktopbetriebssystem macOS entdeckt. Die Datei mit der Endung „.exe“, die eigentlich auf Macs eine Fehlermeldung auslösen sollte, ist stattdessen in der Lage, Schutzfunktionen wie Gatekeeper zu umgehen, um eine Malware einzuschleusen. Dabei macht sich die EXE-Datei den Umstand zu Nutze, dass Gatekeeper EXE nicht als ausführbare Datei einstuft und von daher erst gar nicht prüft.

Malware (Bild Shutterstock)Das von den Forschern untersuchte Muster ist ein Installer für die für Windows und macOS erhältliche Firewall-App Little Snitch, die über Torrent-Websites verteilt wird. Dort wird sie auch unter den Namen anderer Anwendungen wie Paragon NTFS für Mac OS Sierra oder Wondershare Filmora angeboten – offenbar soll es sich jeweils um Raubkopien der genannten Anwendungen handeln.

Die per Torrent heruntergeladene Datei liegt als ZIP-Archiv vor, das unabhängig vom Dateinamen eine Setup.dmg genannte Datei enthält. In ihr wiederum versteckt sich die schädliche EXE-Datei. Wird die Setup-Datei gestartet, wird durch das ebenfalls enthaltene Mono-Framework auch die EXE-Datei ausgeführt – das Mono-Framework erlaubt die Nutzung von .NET-Anwendungen unter macOS.

Die Malware sammelt schließlich Informationen über den infizierten Mac wie Modellname, Prozessortyp und –geschwindigkeit, Speicher, Boot-ROM-Version, Seriennummer und UUID. Zudem stellt sie eine Liste aller installierten Anwendungen zusammen und überträgt alle Daten an einen Befehlsserver. Im Gegenzug werden unerwünschte Adware-Apps heruntergeladen und installiert, die sich unter anderem als Little Snitch oder auch als Adobe Flash Player ausgeben.

„Wir vermuten, dass diese spezifische Malware als Ausweichtechnik für andere Angriffs- oder Infektionsversuche verwendet werden kann, um einige eingebaute Sicherheitsvorkehrungen wie digitale Zertifikatsprüfungen zu umgehen, da es sich um eine nicht unterstützte binäre ausführbare Datei in Mac-Systemen handelt“, lautet das Fazit von Trend Micro. „Wir glauben, dass die Cyberkriminellen noch immer die Entwicklung und die Möglichkeiten dieser Malware untersuchen, die in Apps gebündelt und in Torrent-Sites verfügbar ist, und deshalb werden wir weiter untersuchen, wie Cyberkriminelle diese Informationen und Routinen nutzen können.“

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Themenseiten: Apple, Cybercrime, Malware, Security, Sicherheit, Trend Micro, Windows, macOS

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Windows-App umgeht Gatekeeper und infiziert Macs mit Malware

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *