Im April 2023 erschien neue Malware namens „Atomic macOS Stealer“ (AMOS) für macOS auf der Bildfläche. Sie ist in der Lage, Schlüsselbund- und Browserkennwörter sowie ebenfalls Dateien abzugreifen. Verteilt wurde der Schadcode bisher hauptsächlich über gecrackte Software, aber seit Neuestem bedienen sich die Angreifer eines anderen Tricks. An Mac-Nutzer gerichtete, gezielt geschaltete, bezahlte Suchergebnisse locken nach Nutzung der Suchmaschine auf täuschend echt wirkende Webseiten. Die Angreifer machen sich hierbei das (oft blinde) Vertrauen in die gezeigten Resultate zunutze. Hier wird statt der gesuchten App allerdings infizierte Malware angeboten, vor der selbst Apples Gatekeeper in diesem Fall nicht schützen kann. Hierfür nutzen die Betrüger eine spezielle Art der App-Signatur. Führt man die Schadsoftware erst einmal aus, fragt sie in einer Endlosschleife nach dem Benutzerpasswort. Knickt das Opfer schließlich ein, erhalten die Täter Zugriff auf das Dateisystem.


Vermeintlich seriöse Werbung
Sucht man nach einer App außerhalb des App Stores, ist Google oft die erste Anlaufstelle. In der Google-Suche erscheinen neben den Webergebnissen bekanntlich auch bezahlte Suchanzeigen. Wie Forscher der Malwarebytes Labs nun herausfanden, wurden diese in letzter Zeit häufiger von Angreifern gezielt modifiziert und leiten auf inoffizielle, gefälschte Webseiten weiter. Hierbei geht es um einige, gezielt ausgewählte Programme und eigens dafür geklonte Internetauftritte. Als Beispiel führen die Forscher „TradingView“ an, eine beliebte Plattform zur Überwachung des Finanzmarkts. Die Täter erstellen Google-Ad-Accounts und präparieren mehr oder weniger täuschend echte Search Ads. Dies alles geschieht mitunter hinter dem Google-Gütesiegel. Der Schadcode ist in einer sogenannten ad-hoc signierten App verpackt. Da es sich hierbei nicht um ein von Apple ausgestelltes Zertifikat handelt, kann es vom kalifornischen Unternehmen auch nicht widerrufen werden.

Achtsamkeit ist gefragt
Die Webseiten haben allerdings im Regelfall auffällige Merkmale. Dies beginnt bereits mit der URL. Sie weist oftmals Schreibfehler auf oder verfügt über einen auffälligen Domain-Namen. Ebenfalls gibt ein Blick auf das Erstellungsdatum der Webseite häufig Aufschluss zur Seriosität. Ein zusätzlicher, wichtiger Schritt vor dem Download einer App sollte daher sein, den Internetauftritt einer genauen Prüfung zu unterziehen und bei Unsicherheit die offizielle Seite lieber noch einmal direkt anzusteuern. Man sollte allemal achtsam im Umgang mit Software sein, die nicht direkt über den App Store zu beziehen ist. Ein Alarmsignal ist etwa die Aufforderung, für eine Softwareinstallation den Gatekeeper umgehen zu wollen. Auch Apps, die nicht zuerst in den Finder kopiert werden müssen, sollten mit äußerster Vorsicht genossen werden. Unregelmäßigkeiten bei der Eingabe des Systemkennworts nach einer Installation sollte zudem stets aufhorchen lassen. Bei Tippfehlern oder einer unstimmigen Aufmachung des Programms sollte man ohnehin auf der Hut sein.