Nutzer, die auf ihren Apple-Computern mit Kryptowährungen handeln, sollten sich vor einer neuen Mac-Malware schützen. Eset zufolge ist derzeit eine Schadsoftware im Umlauf, die sich als legitime Versionen von Trading-Apps für Kryptowährungen ausgibt. Unter anderem ist die Software des Anbieters Kattana betroffen.
Insgesamt wurden bisher vier schädliche Version der legitimen Kattana-App gefunden. Sie werden unter den Bezeichnungen Cointrazer, Cupatrade, Licatrade und Trezarus angeboten. Neben einer Trading-Funktion beinhalten sie aber auch den Malware-Installer Gmera, die laut Trend Micro schon 2019 mit einer anderen Mac-Trading-App namens Stockfolio gebündelt wurde.
Wird die schädliche App ausgeführt, stellt Gmera eine HTTP-Verbindung zu einem Befehlsserver im Internet her und etabliert eine Remote-Terminal-Sitzung zu einem weiteren Befehlsserver über eine voreingestellte IP-Adresse. Diese Aktionen werden über ein Shell-Skript gestartet, das außerdem einen Launch Agent einrichtet, der eine dauerhafte Funktion der Malware ermöglicht.
Zumindest im Fall der von Eset untersuchten Licatrade-App funktionierte der Launch Agent jedoch nicht. Bei den anderen drei Varianten – sie sollen sich grundsätzlich nur geringfügig unterscheiden – arbeitet der Launch Agent wie vorgesehen.
Die meisten legitimen Funktionen der Kattana-App fanden die Forscher auch in den schädlichen Version. Vor allem die Anmeldefunktion, die eine Geldbörse und die eigentliche Trading-Funktion verknüpft, sei vorhanden. Diese Funktion wiederum nutzen die Cyberkriminellen, um auf die Geldbörsen ihrer Opfer zuzugreifen.
Gmera ist laut Eset aber auch in der Lage, Informationen über das infizierte System zu sammeln. Die Malware versucht außerdem, einen Honeypot zu erkennen. Ist macOS Catalina installiert, wird die Screenshot-Funktion der Malware nicht aktiviert, das Catalina vor Erstellung eines Screenshots die Zustimmung des Nutzers einholt, was die Malware enttarnen könnte.
Erst danach beginnt der eigentliche Datendiebstahl. Neben den Anmeldedaten für Kryptogeldbörsen ziehen die Hacker auch Browserdaten und Cookies ab.
Eset zufolge signierten die Hintermänner ihre Schadsoftware zudem mit einem gültigen Apple-Zertifikat, das jedoch in zwischen widerrufen wurde. „Im Fall von Cointrazer lagen nur 15 Minuten zwischen dem Zeitpunkt, an dem das Zertifikat von Apple ausgestellt wurde, und der Signierung des Trojaners durch die Angreifer“, ergänzten die Forscher. „Dies und die Tatsache, dass wir nichts anderes gefunden haben, was mit demselben Schlüssel signiert wurde, lässt vermuten, dass sie das Zertifikat explizit für diesen Zweck erhalten haben.“
Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.
Russische Forscher haben Sicherheitslücken im Linux-Kernel entdeckt und bereits behoben. Linux-Admins sollten schleunigst den Patch…
Eine chinesische Hackergruppe namens Hafnium nutzt Sicherheitslücken im Microsoft Exchange planmäßig aus. Microsoft rät Kunden…
Microsoft hat auf der Konferenz Ignite am 2. März 2021 neue Funktionen für den Windows…
Die neue Kooperation von Munich Re mit Google Cloud und Allianz Global Corporate & Specialty…
Zero Trust, also niemandem und keinem Netzwerk oder Gerät vertrauen, klingt zunächst geheimnisvoll. Aber in…
Der Austritt Großbritanniens aus der EU hat den Handelsverkehr auf beiden Seiten massiv beeinträchtigt. Unklar…