Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Mac-Malware im Umlauf: "CrashStealer" fragt Nutzerkennwort ab

Mit zunehmender Beliebtheit der Mac-Plattform wird sie zugleich als Ziel für Datendiebe interessanter: Je mehr Anwender, desto größer die Zahl der potenziellen Opfer, was wiederum einen größeren Programmieraufwand rechtfertigt. Die Sicherheitsexperten des Jamf Threat Labs machen auf einen Fall aufmerksam, der an mehreren Stellen geschickt Sicherheitsbarrieren umgeht – und bis zur Entdeckung eine valide Notarisierung durch Apples Entwicklerprogramm aufwies.


Die Entdecker tauften das beobachtete Programm CrashStealer. Es gelangt auf den Mac, indem Nutzer einen scheinbar legitimen Installer herunterluden und ihn starteten. In dem beobachteten Fall handelte es sich um eine App namens „Werkbit“ – dies ist zugleich der Name eines Entwicklerstudios aus dem Erzgebirge. Dieses ist allerdings unschuldig – es bietet unter werkbit.de maßgeschneiderte Programmierungen an. Google zeigt als zweiten Treffer derzeit noch die URL werkbit.io an. Sie verspricht eine KI-gestützte Konferenzsoftware. Obwohl die Website selbst mittlerweile offline ist, berichten die Jamf-Forscher, dass damit die Gefahl keinesfalls gebannt sei. So nutzen die Angreifer weitere Namen und URLs für die Verbreitung.

CrashStealer verwendet Namen, die auf den ersten Blick unauffällig erscheinen.

Installation von „CrashReporter“
Als die Sicherheitsforscher den Installer in einer Testumgebung starteten, konnten sie dessen Vorgehen nachvollziehen: Die Malware wird von einem Command-and-Control-Server geladen und unter dem Namen „CrashReporter“ auf dem Mac installiert. Anders als gewöhnliche Trojaner setzt CrashStealer dabei auf nativen, in C++ programmierten Code, anstatt eine dünne AppleScript-Fassade aufzuziehen. Der Dialog, den die aktive Malware dann im weiteren Verlauf aufruft, ist deshalb auch schwerer als Fälschung zu erkennen.

Kennwort wird überprüft und eingesetzt
Ob das eingegebene Kennwort legitim ist, wird im Hintergrund durch einen Kommandozeilenbefehl überprüft. Anschließend entsperrt das Programm den Anmeldungsschlüsselbund und extrahiert Kennwörter, Browser-Daten, Krypto-Wallet-Informationen und mehr, um sie als verschlüsselte Archive zu sichern. Danach kopiert sich das Programm selbst und nistet sich mittels eines LaunchAgents dauerhaft ins System ein.

Validiert von Apples Notarisierung
Die Entdecker überraschte besonders, dass die Malware eine valide Signatur von Apple aufwies, obwohl die unlauteren Absichten der App in den Programmbestandteilen recht offensichtlich zu erkennen waren. Erst nachdem Jamf Apple mit den eigenen Beobachtungen konfrontiert hatte, zog der Konzern die Notarisierung zurück – zumindest unter dieser einen Signatur ist das Programm nun nicht mehr leicht zu verbreiten. In der Vergangenheit wurde Apple wiederholt vorgeworfen, dass der Notarisierungsprozess lediglich ein „Sicherheitstheater“ aufführe – der Eindruck verfestigte sich, Apple führe keine ernst zu nehmende Code-Analyse durch. Andererseits gibt es seit April Anzeichen, dass Apple mittlerweile zumindest automatisierte Scans eingereichter Programme durchführe.

Kommentare

ND15.07.26 17:50
Wie geht man damit um? Man erkennt es am Namen WERKBIT, löscht es und installiert es keinesfalls. Das ist es?
-1

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.