Categories: MacWorkspace

Neuer Mac-Trojaner leert Geldbörsen für Kryptowährungen

Nutzer, die auf ihren Apple-Computern mit Kryptowährungen handeln, sollten sich vor einer neuen Mac-Malware schützen. Eset zufolge ist derzeit eine Schadsoftware im Umlauf, die sich als legitime Versionen von Trading-Apps für Kryptowährungen ausgibt. Unter anderem ist die Software des Anbieters Kattana betroffen.

Wie genau die Trojaner-Versionen dieser Apps auf einen Mac landen, ist den Forscher nicht bekannt. Sie gehen aber davon aus, dass Social Engineering eine Rolle spielt. Zumal Kattana bereits seit März auf schädliche Kopien seiner Software aufmerksam mache. “ Die Annahme, dass die Betreiber ihre Zielpersonen direkt kontaktieren und sie sozial so manipulieren, dass sie die bösartige Anwendung installieren, scheint am plausibelsten“, erklärten die Forscher.

Insgesamt wurden bisher vier schädliche Version der legitimen Kattana-App gefunden. Sie werden unter den Bezeichnungen Cointrazer, Cupatrade, Licatrade und Trezarus angeboten. Neben einer Trading-Funktion beinhalten sie aber auch den Malware-Installer Gmera, die laut Trend Micro schon 2019 mit einer anderen Mac-Trading-App namens Stockfolio gebündelt wurde.

Wird die schädliche App ausgeführt, stellt Gmera eine HTTP-Verbindung zu einem Befehlsserver im Internet her und etabliert eine Remote-Terminal-Sitzung zu einem weiteren Befehlsserver über eine voreingestellte IP-Adresse. Diese Aktionen werden über ein Shell-Skript gestartet, das außerdem einen Launch Agent einrichtet, der eine dauerhafte Funktion der Malware ermöglicht.

Zumindest im Fall der von Eset untersuchten Licatrade-App funktionierte der Launch Agent jedoch nicht. Bei den anderen drei Varianten – sie sollen sich grundsätzlich nur geringfügig unterscheiden – arbeitet der Launch Agent wie vorgesehen.

Die meisten legitimen Funktionen der Kattana-App fanden die Forscher auch in den schädlichen Version. Vor allem die Anmeldefunktion, die eine Geldbörse und die eigentliche Trading-Funktion verknüpft, sei vorhanden. Diese Funktion wiederum nutzen die Cyberkriminellen, um auf die Geldbörsen ihrer Opfer zuzugreifen.

Gmera ist laut Eset aber auch in der Lage, Informationen über das infizierte System zu sammeln. Die Malware versucht außerdem, einen Honeypot zu erkennen. Ist macOS Catalina installiert, wird die Screenshot-Funktion der Malware nicht aktiviert, das Catalina vor Erstellung eines Screenshots die Zustimmung des Nutzers einholt, was die Malware enttarnen könnte.

Erst danach beginnt der eigentliche Datendiebstahl. Neben den Anmeldedaten für Kryptogeldbörsen ziehen die Hacker auch Browserdaten und Cookies ab.

Eset zufolge signierten die Hintermänner ihre Schadsoftware zudem mit einem gültigen Apple-Zertifikat, das jedoch in zwischen widerrufen wurde. „Im Fall von Cointrazer lagen nur 15 Minuten zwischen dem Zeitpunkt, an dem das Zertifikat von Apple ausgestellt wurde, und der Signierung des Trojaners durch die Angreifer“, ergänzten die Forscher. „Dies und die Tatsache, dass wir nichts anderes gefunden haben, was mit demselben Schlüssel signiert wurde, lässt vermuten, dass sie das Zertifikat explizit für diesen Zweck erhalten haben.“

ANZEIGE

Netzwerksicherheit und Netzwerkmonitoring in der neuen Normalität

Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

it-sa 2021: „Die richtigen Leute waren da“

Auch wenn die it-sa 2021 gegenüber der letzten Präsenzveranstaltung deutlich geschrumpft ist, zeigten sich die…

10 Stunden ago

Das sind die Hardware Top-Seller

Trotz des Chipmangels ist die Nachfrage nach Hardware ungebrochen, es gibt aber Befürchtungen, dass es…

12 Stunden ago

Datenstrategie mangelhaft

Der Weg von der Datenanarchie zur Datenstrategie ist lang und die deutschsprachigen Unternehmen haben noch…

1 Tag ago

Europas Zukunft ist digital

Einen wirtschaftspolitischen Appell richtet Yann Lechelle, CEO von Scaleway, an die Europäische Union. Die EU…

1 Tag ago

HP Presence: HP stellt Kollaborations- und Konferenzsysteme vor

Das Programm umfasst PCs, Audio- und Videobars sowie Raumsteuerungen. Ausgerichtet ist es auf große Meetingräume.…

1 Tag ago

Facebook legt Streit um Benachteiligung von US-Arbeitern bei

Inhaber von befristeten Visas erhielten Vorzug vor US-Arbeitskräften. Facebook zahlt unter anderem Entschädigungen und Geldstrafen…

1 Tag ago