Mac-Malware entzieht sich Sicherheitsforschern und Antiviren-Software

„OSX/CrescentCore“ heißt ein neuer Schädling für macOS. Der Trojaner kommt im Gewand eines Installationsprogramms für den Flash-Player daher und nutzt Techniken, mit denen er sich der Entdeckung durch Virenschutzprogramme entziehen soll.


Webseiten liefern den Schädling aus
Aufgespürt hat die Mac-Malware der Softwarehersteller Intego, welcher selbst Antiviren-Programme anbietet. Auf einen Mac gelangt der Trojaner über diverse Webseiten, die zum Teil sogar weit oben in den Ergebnissen einer Google-Suche auftauchen. Wer den entsprechenden Link anklickt, gelangt über mehrere Weiterleitungen dann zur Seite mit dem gefälschten Flash-Player. Auch auf einer Internetseite, die angeblich kostenlose Comics anbietet, wurde der Schädling entdeckt.

Malware prüft die Systemumgebung
„OSX/CrescentCore“ ist wie andere Vertreter seiner Art in einer DMG-Datei enthalten. Diese täuscht vor, eine Installations- oder Update-App für den Flash-Player zu sein. Startet man das Programm, prüft der Trojaner zunächst, ob er in einer virtuellen Maschine ausgeführt wird. Damit soll sich die Malware vor der Entdeckung durch Sicherheitsforscher schützen, da diese ihre Analysen in aller Regel zu Quarantänezwecken in einem virtuellen Computer durchführen. Im nächsten Schritt checkt „OSX/CrescentCore“ das System auf das Vorhandensein einer Antiviren-Software. Verläuft eine der beiden Prüfungen positiv, beendet sich der Schädling unmittelbar.

Dauerhafte Infektion mit Schadsoftware
Falls der Trojaner feststellt, dass er weder in einer virtuellen Maschine ausgeführt wird noch ein Virenschutzprogramm aktiv ist, installiert in einigen Fällen eine App namens „LaunchAgent“. Andere Varianten der Malware verankern einen „Advanced Mac Cleaner“ oder eine Safari-Erweiterung im System. In allen Fällen ist der betroffene Mac dauerhaft infiziert, dem Nachladen weiterer Malware ist damit Tür und Tor geöffnet. Angreifer könnten so etwa Passwörter und Bankdaten abgreifen oder zu erpresserischen Zwecken die Festplatten im Rechner verschlüsseln.

Zertifikate sind widerrufen
Für die Installation von „OSX/CrescentCore“ nutzen die Malware-Programmierer diverse Developer-Zertifikate, die auf den Namen „Sanela Lovic“ registriert sind. Diese hat Apple bereits aus dem Verkehr gezogen. Integos hauseigene Antiviren-Software ist schon in der Lage, den Schädling zu erkennen, andere Hersteller werden mit Sicherheit in kürzester Zeit ebenfalls auf die neue Bedrohung reagieren.

Kommentare

Dirk!02.07.19 10:51
MTN
Im nächsten Schritt checkt „OSX/CrescentCore“ das System auf das Vorhandensein einer Antiviren-Software. Verläuft eine der beiden Prüfungen positiv, beendet sich der Schädling unmittelbar.

Das wäre das erste Mal, dass Antivirus-Software den Computer erfolgreich vor einer Infektion bewahrt hätte. SCNR
+4
Kovu
Kovu02.07.19 11:22
So erfolgreich kann sie sich ja anscheinend nicht entzogen haben.
+3
nopeecee
nopeecee02.07.19 11:48
Gefälscht oder nicht, flash ist Malware und braucht niemand!
Auch in Foren kann man höflich miteinander umgehen
+5
Mecki
Mecki02.07.19 12:04
Flash... Flash... Flash... 🤔 Da war doch mal was. Ich kann mich dunkel erinnern. Tatsächlich weiß ich nicht vor wie vielen Jahren ich das gelöscht und seither nicht einmal vermisst habe. Ich kenne auch keine einzige vernünftige Seite, die das noch verwendet, entsprechend habe ich es auch nie vermisst.

Ansonsten gilt hier, was immer gilt: Wer Software aus einer unbekannten Quelle installiert, der kann nie wissen, was er da eigentlich installiert. Ein Flash, das nicht von adobe.com kommt kann alles mögliche sein. Und wer Software freiwillig Systemrechte einräumt, dem muss klar sein, dass die Software damit dann fast alles tun kann.

Eigentlich bräuchte selbst ein echtes Flash gar keine Systemrechte, weil man muss das nicht nach
/Library/Internet Plug-Ins
installieren, man kann es genauso gut in den Ordner
~/Library/Internet Plug-Ins
des Nutzers legen, das funktioniert dann genauso. Die Entscheidung das immer gleich für alle Nutzer installieren zu wollen, was nur mit Systemrechten geht, war nur für Adobe gut aber sicherheitstechnisch eine dämliche Entscheidung.
+5
Ely
Ely02.07.19 12:38
Flash nutze ich schon eine halbe Ewigkeit nicht mehr, egal ob Windows oder Mac.

Meine Systeme sind generell frei von Adobe
Wer gegen Datenschutz ist, weil er ja nichts zu verbergen habe, ist auch gegen Meinungsfreiheit, weil er ja nichts zu sagen habe.
+1
maculi
maculi02.07.19 13:17
Schon erschreckend, wie lange sich dieses unsägliche Flash hält. Es gab bereits vor knapp 20 Jahren Diskussionen, das aus dem ursprünglich kleinen, schlanken und stabil laufenden Plug-in durch den stetig erweiterten Funktionsumfang ein fürchterliches Codemonster geworden ist, das instabil läuft, die Prozessoren fordert und (bei Laptops) auch noch den Akku leer saugt (und proprietär war es zu allem Überfluss schon immer). 2007 kam das iPhone raus, ohne Flash. In dem Kontext wurde die Kritik an Flash einer weit größeren Anzahl an Menschen bewusst. Viele Inhalteanbieter wollten es dann genau wissen, haben ihre Seite testweise mal flashfrei angelegt und sich dabei selbst davon überzeugt, das es nicht nur geht, sondern auch viel besser funktioniert.
Jetzt haben wir 2019 und allem Anschein nach wird dieser Rotz immer noch verwendet. Was muss denn noch passieren, das dieser Mist endlich aus dem Netz verschwindet?
+3
MikeMuc02.07.19 14:30
maculi
Was muss denn noch passieren, das dieser Mist endlich aus dem Netz verschwindet?

Da hilft wahrscheinlich nur ein Verbot oder eine dicke fette Warnung vom System die dann frage: Wollen Sie wirklich dies unsicher Software installieren und wollen sie das Sicherheitsrisiko in Kauf nehmen?
0
My2Cent02.07.19 15:26
Bei ZDNet gabs am 25.6.2019 einen Beitrag zu einem ähnlichen - oder vielleicht dem selben? Thema.
Dort liest sich der Sachverhalt aber anders
+1
maculi
maculi02.07.19 15:52
My2Cent
Das sind zwei unterschiedliche Schädlinge, auch wenn sie durchaus parallelen aufweisen (von Intego entdeckt, kommen per dmg daher, sind angebliche Flashinstaller).
+2
beanchen03.07.19 08:33
maculi
Was muss denn noch passieren, das dieser Mist endlich aus dem Netz verschwindet?
Das Internet ist keine News-Seite. Da gibt es Seiten zu Projekten oder Veranstaltungen, die nach dem Ende nie mehr verändert oder gepflegt wurden.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen