Mac-Trojaner tarnt sich als "Symantec Malware Detector"

Ein Trojaner für Mac-Computer tarnt sich als Malware-Erkennung und wird über ein vermeintlich offizielles Symantec-Blog verbreitet. Durch eine falsche Meldung in sozialen Netzwerken werden Nutzer dazu gebracht die Malware zu installieren. Der Trojaner gibt vor das System auf Malware zu überprüfen während er in Wirklichkeit Schadcode installiert & Daten sammelt.


Der bereits über populäre Mac-Software wie Handbrake und Elmedia Player ausgelieferte Schädling, setzte auf einen neuen Infektionsweg: Er tarnt sich als die fiktive Sicherheits-Software ?Symantec Malware Detector? die betreffend ein gefälschtes Blog der Antiviren-Firma Symantec zum Download angeboten wurde, ebenso wie Sicherheitsforscher warnen.

Gefälschter Mac-Systemdialog ruft zu Kennworteingabe auf

Um Nutzer zur Installation zu locken, wurde eine Falschnachricht zu einer neuen Version des Bitcoin-klauenden Mac-Schädlings CoinThief in dem vermeintlichen Symantec-Blog verbreitet ? und als Link über soziale Netze weitergegeben. Eine dafür genutzte Domain ist derzeit nicht weiterhin zu erreichen.

Um einen ?Check? des Macs durchzuführen, fordert der vorgebliche ?Symantec Malware Detector? die Eingabe des Benutzerpasswortes und zeigt dafür einen gefälschten macOS-Systemdialog an. Gibt der Nutzer sein Kennwort ein, wird anschließend der Trojaner Proton installiert. Die Malware ist den Berichten zufolge signiert Apples in macOS integrierte Schutzfunktion Gatekeeper schlug deswegen nicht an.

Proton will ebenfalls an die Passwörter des Nutzers

Der Trojaner sammelt Informationen über den infizierten Mac, fertigt Screenshots an, liest den Browser-Verlauf aus und versucht mit dem eingegebenen Passwort auch den Schlüsselbund auszulesen ? und damit Einblick in die dort gesammelten Zugangsdaten des Nutzers zu erhalten. Auch Datenbanken der Passwortverwaltung 1Password werden offenbar von Proton eingesammelt. Diese sind allerdings durch ein eigenes Passwort geschützt, sollte der Nutzer dieses nicht im Schlüsselbund ? oder an anderer Stelle auf dem Mac ? hinterlegt haben; müsste der Angreifer diese theoretisch nicht entschlüsseln können.

Auch versierte Nutzer sind Proton bereits zum Opfer gefallen: Dem Entwicklerstudio Panic wurde der Quelltext zu mehreren populären Apps geklaut ? die Angreifer forderten dann Lösegeld.

Mehr zum Thema:

  • Proton: Was sich gegen den macOS-Trojaner im Elmedia Player tun lässt
  • Erpressungstrojaner und Mac-Malware: Schützen statt zahlen

Zuletzt aktualisiert am Uhr





Kommentare


Anzeige