Es gibt derzeit zwei Malware-Tools im Umlauf die speziell auf macOS abzielen und als Service angeboten werden. Eines davon ist der MacRansom » ein Erpressungstrojaner « der dazu dient Freunde & Verwandte um ihr Geld zu erleichtern. Das andere Tool nennt sich MacSpy und ermöglicht es dem Nutzer, heimlich auf einem Mac Computer mitzulesen und Informationen zu sammeln. Beide Malware-Tools werden von Unbekannten angeboten.
Über ?Hidden Services? wird im Tor-Netzwerk seit kurzem Malware zum Verkauf angeboten die speziell auf macOS ausgelegt ist. Sicherheitsfirmen haben zwei Schädlinge ausfindig gemacht und näher untersucht: MacSpy soll den Mac des Opfers für eine Fernüberwachung öffnen und unter anderem Screenshots & Eingaben übermitteln. Mit MacRansom wird außerdem ein Erpressungstrojaner gehandelt der die Dateien des Nutzers verschlüsselt. Der Analyse von Fortinet zufolge ist dieser offenbar aber nicht weiterhin in der Lage die Daten ebenfalls wieder zu entschlüsseln.
MacRansom soll Geld von Familienangehörigen erpressen
Der Anbieter bewirbt das Tool als Möglichkeit um ?leichtes Geld? von Familienangehörigen, Freunden und Geschäftspartnern zu erhalten ? also von Opfern; auf deren Mac unter Umständen direkter Zugriff besteht und eine unbemerkte Installation von Hand möglich ist. Man könne den Trojaner auch noch für die Verbreitung per AirDrop oder E-Mail anpassen ? gegen eine Servicegebühr, so der Malware-Entwickler. Mac-Nutzer seien gewöhnlich bereit, über 1000 Dollar für die Entschlüsselung zu bezahlen, schreibt der Anbieter ? einmal hätte ein Geschäftsbesitzer sogar über 26․000 Dollar rausgerückt.
Malware ist unsigniert und schlecht programmiert
Die Schädlinge sind der Analyse zufolge zwar funktionstüchtig stammen aber offenbar von einem Entwickler dem Erfahrung mit macOS noch fehlt. Sowohl MacSpy sowie MacRansom kommen ohne digitale Signatur identisch zeigt macOS einen Warnhinweis bei der Installation. Im Frühjahr wurde aber bereits eine signierte Mac-Malware gehandelt, immer wieder sind Angreifer in der Lage, in den Besitz von Apple-Entwicklerzertifikaten zu gelangen um Schad-Software zu signieren. Apple zieht die Zertifikate ? nach Bekanntwerden ? dann umgehend zurück. Ob die Schädlinge bereits aktiv zum Einsatz kommen bleibt unklar Berichte über eine Infektion liegen bislang nicht vor.
In den vergangenen Monaten wurde zweimal Malware über bekannte Mac-Software vertrieben ? sie kamen vorübergehend als Bestandteil des BitTorrent-Clients Transmission und auch des Video-Encoders Handbrake. Die Malware ?Proton? erwischte dabei sogar das altgediente Mac-Entwickler-Studio Panic ? Angreifer konnten Quelltext zu mehreren Programmen der Firma klauen.
- Mac-Version von Handbrake mit Malware verteilt
- Erpressungstrojaner und Mac-Malware: Schützen statt zahlen
Kommentare