Categories: MacWorkspace

Neuer Mac-Trojaner leert Geldbörsen für Kryptowährungen

Nutzer, die auf ihren Apple-Computern mit Kryptowährungen handeln, sollten sich vor einer neuen Mac-Malware schützen. Eset zufolge ist derzeit eine Schadsoftware im Umlauf, die sich als legitime Versionen von Trading-Apps für Kryptowährungen ausgibt. Unter anderem ist die Software des Anbieters Kattana betroffen.

Wie genau die Trojaner-Versionen dieser Apps auf einen Mac landen, ist den Forscher nicht bekannt. Sie gehen aber davon aus, dass Social Engineering eine Rolle spielt. Zumal Kattana bereits seit März auf schädliche Kopien seiner Software aufmerksam mache. “ Die Annahme, dass die Betreiber ihre Zielpersonen direkt kontaktieren und sie sozial so manipulieren, dass sie die bösartige Anwendung installieren, scheint am plausibelsten“, erklärten die Forscher.

Insgesamt wurden bisher vier schädliche Version der legitimen Kattana-App gefunden. Sie werden unter den Bezeichnungen Cointrazer, Cupatrade, Licatrade und Trezarus angeboten. Neben einer Trading-Funktion beinhalten sie aber auch den Malware-Installer Gmera, die laut Trend Micro schon 2019 mit einer anderen Mac-Trading-App namens Stockfolio gebündelt wurde.

Wird die schädliche App ausgeführt, stellt Gmera eine HTTP-Verbindung zu einem Befehlsserver im Internet her und etabliert eine Remote-Terminal-Sitzung zu einem weiteren Befehlsserver über eine voreingestellte IP-Adresse. Diese Aktionen werden über ein Shell-Skript gestartet, das außerdem einen Launch Agent einrichtet, der eine dauerhafte Funktion der Malware ermöglicht.

Zumindest im Fall der von Eset untersuchten Licatrade-App funktionierte der Launch Agent jedoch nicht. Bei den anderen drei Varianten – sie sollen sich grundsätzlich nur geringfügig unterscheiden – arbeitet der Launch Agent wie vorgesehen.

Die meisten legitimen Funktionen der Kattana-App fanden die Forscher auch in den schädlichen Version. Vor allem die Anmeldefunktion, die eine Geldbörse und die eigentliche Trading-Funktion verknüpft, sei vorhanden. Diese Funktion wiederum nutzen die Cyberkriminellen, um auf die Geldbörsen ihrer Opfer zuzugreifen.

Gmera ist laut Eset aber auch in der Lage, Informationen über das infizierte System zu sammeln. Die Malware versucht außerdem, einen Honeypot zu erkennen. Ist macOS Catalina installiert, wird die Screenshot-Funktion der Malware nicht aktiviert, das Catalina vor Erstellung eines Screenshots die Zustimmung des Nutzers einholt, was die Malware enttarnen könnte.

Erst danach beginnt der eigentliche Datendiebstahl. Neben den Anmeldedaten für Kryptogeldbörsen ziehen die Hacker auch Browserdaten und Cookies ab.

Eset zufolge signierten die Hintermänner ihre Schadsoftware zudem mit einem gültigen Apple-Zertifikat, das jedoch in zwischen widerrufen wurde. „Im Fall von Cointrazer lagen nur 15 Minuten zwischen dem Zeitpunkt, an dem das Zertifikat von Apple ausgestellt wurde, und der Signierung des Trojaners durch die Angreifer“, ergänzten die Forscher. „Dies und die Tatsache, dass wir nichts anderes gefunden haben, was mit demselben Schlüssel signiert wurde, lässt vermuten, dass sie das Zertifikat explizit für diesen Zweck erhalten haben.“

ANZEIGE

Netzwerksicherheit und Netzwerkmonitoring in der neuen Normalität

Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Sicherheitslücken im Linux-Kernel entdeckt

Russische Forscher haben Sicherheitslücken im Linux-Kernel entdeckt und bereits behoben. Linux-Admins sollten schleunigst den Patch…

2 Stunden ago

Microsoft Exchange Server von chinesischen Hackern bedroht

Eine chinesische Hackergruppe namens Hafnium nutzt Sicherheitslücken im Microsoft Exchange planmäßig aus. Microsoft rät Kunden…

5 Stunden ago

Microsoft kündigt Windows Server 2022 an

Microsoft hat auf der Konferenz Ignite am 2. März 2021 neue Funktionen für den Windows…

1 Tag ago

Cyber-Versicherung: Munich Re kooperiert mit Google Cloud und Allianz

Die neue Kooperation von Munich Re mit Google Cloud und Allianz Global Corporate & Specialty…

1 Tag ago

Zero Trust – Jenseits der Mythen

Zero Trust, also niemandem und keinem Netzwerk oder Gerät vertrauen, klingt zunächst geheimnisvoll. Aber in…

2 Tagen ago

Rechtslage in Sachen Datenschutz mit UK unübersichtlich

Der Austritt Großbritanniens aus der EU hat den Handelsverkehr auf beiden Seiten massiv beeinträchtigt. Unklar…

2 Tagen ago