Remote Access Trojaner für macOS verbreitet sich über legitime 2FA-App

Die Malware taucht Anfang April erstmals auf VirusTotal auf. Inzwischen wird sie von 23 von 59 Antivirus-Engines erkannt. Malwarebytes vermutet die Lazarus-Gruppe und damit Nordkorea hinter der Schadsoftware.

Malwarebytes hat eine manipulierte Version der 2FA-App MinaOTP entdeckt, die einen Remote Access Trojan namens Dacls enthält. Bisher wurde die Malware benutzt, um Windows- und Linux-Systeme anzugreifen. Die neue Variante nimmt indes Apples Desktopbetriebssystem macOS ins Visier.

Malware (Bild Shutterstock)Hinter Dacls werden Hacker vermutet, die mit Unterstützung von Nordkorea agieren sollen. Wie Bleeping Computer berichtet ist MinaOTP vor allem bei Nutzern in China verbreitet. Die mit dem Trojaner verseuchte Version des Tools wurde jedoch unter der Bezeichnung TinkaOTP im vergangenen Monat beim Malware-Scanner VirusTotal eingereicht.

Laut Malwarebytes wurde der Trojaner zu dem Zeitpunkt – am 8. April – von keiner Antivirus-Engine entdeckt. Inzwischen sollen 23 von 59 Engines, die auf VirusTotal vertreten sind, in der Lage sein, die Schadsoftware zu erkennen.

Der Analyse der Sicherheitsforscher zufolge übernimmt die Mac-Version von Dacls zahlreiche Details der Varianten für Windows und Linux, darunter die Namen von Zertifikaten. Auch der AES-Schlüssel, der für die Verschlüsselung der Konfigurationsdatei des Trojaners benutzt wird, ist auf allen drei Plattformen identisch. Zudem sollen unter macOS auch sechs Plugins zum Einsatz kommen, die schon von Windows und Linux bekannt sind. Neu sei jedoch ein Socks-Modul, dass einen Proxy zwischen der Malware und der Befehlsserverinfrastruktur startet.

Seine Kommunikation mit dem Befehlsserver schützt der Trojaner mit der Open-Source-Bibliothek WolfSSL. Sie lasse sich jedoch nicht einer bestimmten Hackergruppe zuordnen, heißt es weiter in dem Bericht.

Trotzdem wird hinter der Kampagne die mutmaßlich aus Nordkorea stammende Lazarus Group vermutet. Sie setzte schon früher auf mit Malware verseuchte legitime Software. So fand Kaspersky bereits 2018 einen Installer für eine Handelsplattform für Kryptowährungen, die einen Trojaner enthielt. Auch macOS soll die Gruppe schon früher angegriffen haben.

WEBINAR

Webinar-Aufzeichnung: Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Themenseiten: Hacker, Malware, Malwarebytes, Security, Sicherheit, macOS

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Remote Access Trojaner für macOS verbreitet sich über legitime 2FA-App

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *