Neue Mac-Malware nutzt kürzlich entdeckte Zero-Day-Schwachstelle

Die Schwachstelle wurde im Mai enthüllt, nachdem Apple sie nicht in 90 Tagen behob. Die Schöpfer der Malware erproben Methoden, um damit Apples integrierten Malwareschutz Gatekeeper zu umgehen. Sie verteilen ZIP-Archive und DMG-Dateien, die als Flash-Installer getarnt sind.

Sicherheitsforscher haben mit OSX/Linker eine neue Schadsoftware entdeckt. Diese nutzt eine von Apple noch nicht behobene Schwachstelle aus, mit der sich Gatekeeper umgehen lässt, der integrierte Malwareschutz von macOS. Die Lücke betrifft alle macOS-Versionen einschließlich der aktuellen Version 10.14.5 des Desktop-Betriebssystems.

Malware (Bild: Shutterstock/Blue Island)

Analysiert wurde OSX/Linker von Joshua Long, Chief Security Officer von Intego, das sich auf Sicherheitslösungen für macOS spezialisiert hat. In einem Blogeintrag berichtet er von Malwareproben, die Anfang Juni auftauchten und offenbar dazu dienten, konkrete Wege zur Umgehung von Apples Gatekeeper auszutesten.

Dabei eingesetzte Zertifikate verwiesen dabei auf eine Gruppe, die zuvor durch die Adware OSX/Surfbuyer aufgefallen war. Für bösartige Absichten sprach zudem, dass die präparierten Disk Images als Installer für Adobe Flash Player getarnt waren – eine der häufigsten Methoden von Malware-Autoren, Mac-Nutzer zur Installation von Malware zu verleiten.

Die zugrundeliegende Schwachstelle MacOS X GateKeeper Bypass wurde vom italienischen Sicherheitsforscher Filippo Cavallarin am 24. Mai enthüllt, nachdem Apple sie nicht wie zugesagt innerhalb von 90 Tagen behob. Das von ihm beschriebene Problem besteht darin, dass macOS von einem Netzwerk-Laufwerk heruntergeladene Anwendungen anders behandelt als Downloads aus dem Internet. Das erlaubt die Schaffung eines symbolischen Links („Symlink“) zu einer Anwendung auf einem vom Angreifer kontrollierten NFS-Server (Network File System), um dann ein ZIP-Archiv mit diesem Symlink zu schaffen und das Opfer zu dessen Download zu bewegen. Mit dem von Cavallarin kritisierten Ergebnis, dass die App nicht durch Apples Malwareschutz untersucht und blockiert wird.

Bei den von Intego untersuchten Proben zeigte sich, dass die Malware-Hersteller nicht nur mit einem ZIP-Archiv, sondern auch mit einem ISO-9660-Image mit der Dateiendung „.dmg“ sowie dem tatsächlichen Dateiformat Apple Disk Image (DMG) experimentierten. Noch sieht es danach aus, dass die Hintermänner bislang nur die Angriffsmöglichkeiten ausloten oder begrenzte und gezielte Angriffe durchführen. Dank dynamischer Verlinkung, warnt Intego jedoch, könnten die Angreifer aber jederzeit serverseitige Änderungen vornehmen – und eine App zu verteilen, die tatsächlich bösartigen Code auf den Macs der Opfer ausführt.

Themenseiten: Apple, Malware, Sicherheit, intego, macOS

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Neue Mac-Malware nutzt kürzlich entdeckte Zero-Day-Schwachstelle

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *