Categories: Sicherheit Virus

Neue Mac-Malware nutzt kürzlich entdeckte Zero-Day-Schwachstelle

Sicherheitsforscher haben mit OSX/Linker eine neue Schadsoftware entdeckt. Diese nutzt eine von Apple noch nicht behobene Schwachstelle aus, mit der sich Gatekeeper umgehen lässt, der integrierte Malwareschutz von macOS. Die Lücke betrifft alle macOS-Versionen einschließlich der aktuellen Version 10.14.5 des Desktop-Betriebssystems.

Analysiert wurde OSX/Linker von Joshua Long, Chief Security Officer von Intego, das sich auf Sicherheitslösungen für macOS spezialisiert hat. In einem Blogeintrag berichtet er von Malwareproben, die Anfang Juni auftauchten und offenbar dazu dienten, konkrete Wege zur Umgehung von Apples Gatekeeper auszutesten.

Dabei eingesetzte Zertifikate verwiesen dabei auf eine Gruppe, die zuvor durch die Adware OSX/Surfbuyer aufgefallen war. Für bösartige Absichten sprach zudem, dass die präparierten Disk Images als Installer für Adobe Flash Player getarnt waren – eine der häufigsten Methoden von Malware-Autoren, Mac-Nutzer zur Installation von Malware zu verleiten.

Die zugrundeliegende Schwachstelle MacOS X GateKeeper Bypass wurde vom italienischen Sicherheitsforscher Filippo Cavallarin am 24. Mai enthüllt, nachdem Apple sie nicht wie zugesagt innerhalb von 90 Tagen behob. Das von ihm beschriebene Problem besteht darin, dass macOS von einem Netzwerk-Laufwerk heruntergeladene Anwendungen anders behandelt als Downloads aus dem Internet. Das erlaubt die Schaffung eines symbolischen Links („Symlink“) zu einer Anwendung auf einem vom Angreifer kontrollierten NFS-Server (Network File System), um dann ein ZIP-Archiv mit diesem Symlink zu schaffen und das Opfer zu dessen Download zu bewegen. Mit dem von Cavallarin kritisierten Ergebnis, dass die App nicht durch Apples Malwareschutz untersucht und blockiert wird.

Bei den von Intego untersuchten Proben zeigte sich, dass die Malware-Hersteller nicht nur mit einem ZIP-Archiv, sondern auch mit einem ISO-9660-Image mit der Dateiendung „.dmg“ sowie dem tatsächlichen Dateiformat Apple Disk Image (DMG) experimentierten. Noch sieht es danach aus, dass die Hintermänner bislang nur die Angriffsmöglichkeiten ausloten oder begrenzte und gezielte Angriffe durchführen. Dank dynamischer Verlinkung, warnt Intego jedoch, könnten die Angreifer aber jederzeit serverseitige Änderungen vornehmen – und eine App zu verteilen, die tatsächlich bösartigen Code auf den Macs der Opfer ausführt.

Bernd Kling

Recent Posts

Anker-Netzteil PowerPort+ Atom III lieferbar

Ausgerüstet ist das Netzteil mit den neuen PowerIQ-Chips der dritten Generation. Damit unterstützt das 60-Watt-Modell Qualcomm Quick Charge 3.0 und…

4 Stunden ago

VSC-4: Österreich erhält neuen Supercomputer

Insgesamt verfügt der VSC-4 Supercomputer über 790 Knoten zu je zwei Prozessoren mit je 24 Kernen – also insgesamt 37.929…

4 Stunden ago

Windows 10 19H2 erlaubt Nutzung von Alexa & Co. im Sperrbildschirm

Eine Aktivierung von Alexa & Co., also einem Digitalassistenten eines Drittanbieters, ist per Sprachaktivierung vom Sperrbildschirm aus möglich. Das Build…

6 Stunden ago

PC-Markt: Windows 10 sorgt für Wachstum

Laut Gartner hat die Auslieferung von PCs in den letzten drei Monaten im Vergleich zum Vorjahreszeitraum um 1,5 Prozent zugelegt.…

9 Stunden ago

Galaxy S8 und Galaxy S8+: Update bringt Android-Sicherheitspatch Juli

Das Juli-Sicherheitsupdate schließt mehrere kritische Sicherheitslücken und verbessert die Stabilität der Kamera.

11 Stunden ago

200 Euro sparen: OnePlus 7 mit 256 GByte Speicher für knapp 409 Euro

Das Spitzenmodell OnePlus 7 Pro in der Ausführung mit 256 GByte Speicher und 8 GByte RAM in den Farben Grau…

12 Stunden ago