Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Gefährliches Gimmick: Spezielle Spionage-Malware für macOS entdeckt

Das Ausspähen von Informationen aller Art ist mit hoher Wahrscheinlichkeit der Zweck einer jüngst entdeckten Malware. Der Schädling, welchem Sicherheitsexperten den Namen "GIMMICK" verliehen haben, treibt sein Unwesen nicht nur auf Windows-Rechnern, es existiert auch eine speziell für macOS geschriebene Version. Entwickelt oder in Auftrag gegeben wurde die Schadsoftware dem US-amerikanischen Cybersecurity-Unternehmen Volexity zufolge von der chinesischen Spionagegruppe "Storm Cloud".


"GIMMICK" tarnt sich als häufig genutzte Mac-App
Die Mac-Version von "GIMMICK" wurde in Objective-C erstellt und fiel das erste Mal gegen Ende 2021 auf einem MacBook Pro auf, welches mit macOS Big Sur 11.6 betrieben wurde. Die Schadsoftware tarnt sich als eine auf dem befallenen System häufig verwendete App, welche Volexity allerdings in dem jetzt veröffentlichten Blogbeitrag zu der Malware nicht nennt. Mit hoher Wahrscheinlichkeit nutzt der Schädling dabei die Namen wechselnder Anwendungen. Beim ersten Start wird weitere Software nachgeladen, deren Zweck der Aufbau einer permanenten Google-Drive-Session ist. Der Cloud-Service des Suchmaschinen-Konzerns dient anschließend als Command-and-Control-Plattform. Das macht "GIMMICK" äußerst gefährlich, denn damit unterläuft die Malware gängige Sicherheitsmechanismen wie etwa Netzwerk-Monitoring-Tools.


Quelle: Volexity

Malware kann Dateien auf Server der Angreifer hochladen
Ist "GIMMICK" einmal auf den Mac gelangt, stehen der Malware mithilfe nachgeladener Module verschiedene Möglichkeiten offen. Den Beobachtungen von Volexity zufolge ist die Schadsoftware in der Lage, Dateien auf Server der Angreifer hochzuladen, mithilfe einer Shell verschiedene Befehle auszuführen und ihre Fähigkeiten zu erweitern. Dabei nutzt "GIMMICK" sowohl eigene Funktionen als auch in macOS standardmäßig enthaltene Utilities und Open-Source-Tools. Die genaue Funktionsweise beschreiben die Sicherheitsforscher in ihrem aktuellen Blogbeitrag mit dem Titel "Storm Cloud on the Horizon". Die Malware wird von der chinesischen Gruppe angeblich vornehmlich für Cyberspionage in Asien eingesetzt, gefährdet aber naturgemäß auch Mac-Nutzer weltweit. Apple hat die von Volexity zur Verfügung gestellten Signaturen des Schädlings bereits in XProtect und das Malware Removal Tool (MRT) integriert. Mac-Nutzer sollten daher umgehend ihr System auf den neuesten Stand bringen.

Kommentare

MikeMuc24.03.22 17:48
Werden MRT und XProtect nicht automatisch regelmäßig vom System aktualisiert, egal was man in den Updateeinstellungen eingestellt hat? Viel wichtiger wäre es zu wissen, ob auch so alte System wie 10.13 Peer 10.14 zB. Noch von diesen Updates profitieren. Einfach zu schreiben, man soll sein System auf den neuesten Stand bringen hilft ja nix, wenn der Rechner bereits auf dem neuesten Stand ist, den Apple dafür vorgesehen hat
+6
maculi
maculi24.03.22 17:53
Kuckst du hier: da werden deine Fragen beantwortet.
+6
113724.03.22 18:19
Gerne auch mal hier vorbei schauen:

https://eclecticlight.co/downloads/

Dort etwas runter scrollen und die App "SilentKnight" runter laden, und ggfs. Updates installieren, denn MRT und XProtect werden nicht immer von Apple auf dem neuesten Stand gehalten. (wenigstens nicht bei mir)
+3
Deichkind24.03.22 19:17
Es gilt das, was in dem von maculi verlinkten Bericht angegeben ist:
Die Checkbox "Systemdateien und Sicherheitsupdates installieren" muss gesetzt sein, wobei jedenfalls auf macOS Mojave die oberste Checkbox Voraussetzung dafür ist, dass die untere Checkbox aktiviert werden kann. "Neue Updates bei Verfügbarkeit laden" ist hierfür nicht erforderlich.

In dem Bericht heißt es "ab El Capitan". Ich kann jedenfalls macOS High Sierra und Mojave bestätigen. Den Rechner mal kurz mit dem Internet zu verbinden, reicht jedoch im Allgemeinen nicht zum Anstoßen der Installation. Software-Update schaut nur in Intervallen bei Apple nach. Ein Neustart bei verbundenem Internet wirkt vielleicht eher, oder eben Howard Oakleys Programm SilentKnight.
+3
MikeMuc24.03.22 21:19
Danke euch. Da war die Konkurrenz deutlich ausführlicher
-2
Retrax25.03.22 08:21
maculi
Kuckst du hier: da werden deine Fragen beantwortet.
Ich hatte in Einstellungen > Softwareupdate alles deaktiviert und bin davon ausgegangen dass XProtect und MRT trotzdem automatisch installiert werden oder eben dann nach "Nachfrage".

Aber macOS Catalina macht gar nix!
Ich habe gerade nachgeschaut und XProtect mit Datum 2019 gefunden - MRT war gar nicht vorhanden in Systeminformationen > Software > Installationen.

Ich hab seither niergends gelesen, dass man die Option "Systemdateien und Sicherheitsupdate installieren" zwingend aktivieren muss um XProtect und MRT zu erhalten!

Mann Mann Mann...
-1
torfdin25.03.22 11:27
Retrax
...
Ich hab seither niergends gelesen, dass man die Option "Systemdateien und Sicherheitsupdate installieren" zwingend aktivieren muss um XProtect und MRT zu erhalten!

Mann Mann Mann...
https://support.apple.com/de-de/HT207005
diese Beschreibung gibt's bei Apple schon lange (und wird aktualisiert)
immer locker bleiben - sag' ich, immer locker bleiben [Fanta 4]
+1
MetallSnake
MetallSnake25.03.22 11:41
torfdin
https://support.apple.com/de-de/HT207005
diese Beschreibung gibt's bei Apple schon lange (und wird aktualisiert)

Erinnert mich an
„Aber Mr. Dent, die Pläne lagen die letzten neun Monate im Planungsbüro aus.“

„O ja.Als ich davob hörte bin ich gestern nachmittag gleich rüber gegangen um sie mir anzusehen. Man hatte sich nicht gerade viel Mühe gemacht, die Aufmerksamkeit darauf zu lenken. Ich meine, dass man’s jemandem gesagt hätte oder so.“

„Aber die Pläne lagen aus…“

„Lagen aus? Ich musste schließlich zu erst in den Keller runter…“

„Da werden sie immer ausgehängt.“

„Mit einer Taschenlampe.“

„Tja, das Licht war wohl kaputt.“

„Die Treppe auch.“

„Aber die Bekanntmachung haben Sie doch gefunden, oder?“

„Jaja“, sagte Arthur, „ja, das habe ich. Ganz zuunterst, in einem verschlossenen Aktenschrank, in einem unbenutzten Klo, an dessen Tür stand: Vorsicht, bissiger Leopard!“
“War makes fascists of us all.” - Paul Verhoeven
+4
X-Jo25.03.22 12:45
Retrax
[…]
Ich hab seither niergends gelesen, dass man die Option "Systemdateien und Sicherheitsupdate installieren" zwingend aktivieren muss um XProtect und MRT zu erhalten!
[…]
Es wäre doch auch, rein hypothetisch, möglich, sich eigenständig zu informieren, bevor man ein Häkchen wegklickt. Insbesondere wenn man nicht vollständig erfasst hat, welche Funktionen sich dahinter »verbergen«.
0
mschue
mschue25.03.22 13:32
Ich finde es auch ziemlich "mutig" (um nicht zu sagen "leichtsinnig"), beim Softwareupdate alle Optionen auszuschalten. Warum???

Die Chance sich etwas aus dem Internet einzuhandeln ist doch um ein Mehrfaches größer als daß ein Update von Apple nicht funktioniert. Letzteres habe ich erst einmal erlebt, und es war nur ein kleiner Bug, der bei nächster Gelegenheit gleich wieder behoben wurde.
0
Retrax25.03.22 13:39
X-Jo
Es wäre doch auch, rein hypothetisch, möglich, sich eigenständig zu informieren, bevor man ein Häkchen wegklickt. Insbesondere wenn man nicht vollständig erfasst hat, welche Funktionen sich dahinter »verbergen«.
Ja, natürlich. Gebe Dir völlig recht.
Ich bin eigentlich davon ausgegangen, dass wenn man nachfolgendes deaktiviert:

"Systemdatendateien und Sicherheitsupdates installieren"

Dass Security Updates angezeigt werden (was ja auch der Fall ist), und man selbige dann manuell installieren kann - UND dass in jenen Security Updates auch ein aktualisiertes XProtect und MRT mit enthalten ist - was leider nicht der Fall ist.
(wenn es schon nicht automatisch im Hintergrund geladen wird).

Es steht auch in dem Apple Support Artikel nicht drinn, dass XProtect und MRT dann gar nicht installiert werden wenn man "Systemdatendateien und Sicherheitsupdates installieren" deaktiviert hat.

Es hiess doch immer von allen Seiten, dass XProtect und MRT im Hintergrund aktualisiert werden - völlig unabhängig von Security Updates oder Einstellungen in den "Software-Updates".

In Foren, in Kommentaren, überall wurde kommuniziert:

XProtect und MRT wird von Apple automatisch aufs System gespielt - da kann man nichts dagegen machen.

Und jetzt muss ich feststellen, dass eine nicht-aktivierte Option diesen wichtigen Hintergrundprozess vollständig abschaltet...
(Die Option "Nach Updates suchen" war bei mir btw. immer eingeschaltet - also hätte ich zumindest erwartet, dass mir dann XProtect und MRT als Standalone Download angeboten wird oder eben als Beilage eines Security Updates - aber den XProtect / MRT Prozess ganz abwürgen... das hätte ich nie gedacht...).
+3
TotalRecall
TotalRecall25.03.22 16:01
Und is doch super das noch die MacOS Systeme ab El Capitain versorgt werden mit XProtect und MRT Updates. Apple hat da ein weiteres Plus!

Auch wenn es die Standard Sicherheitsupdates nur noch ab Catalina gibt...
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.