Mac-Malware im Umlauf: "CrashStealer" fragt Nutzerkennwort ab


Mit zunehmender Beliebtheit der Mac-Plattform wird sie zugleich als Ziel für Datendiebe interessanter: Je mehr Anwender, desto größer die Zahl der potenziellen Opfer, was wiederum einen größeren Programmieraufwand rechtfertigt. Die Sicherheitsexperten des Jamf Threat Labs machen auf einen Fall aufmerksam, der an mehreren Stellen geschickt
Sicherheitsbarrieren umgeht – und bis zur Entdeckung eine valide Notarisierung durch Apples Entwicklerprogramm aufwies.
Die Entdecker tauften das beobachtete Programm CrashStealer. Es gelangt auf den Mac, indem Nutzer einen scheinbar legitimen Installer herunterluden und ihn starteten. In dem beobachteten Fall handelte es sich um eine App namens „Werkbit“ – dies ist zugleich der Name eines Entwicklerstudios aus dem Erzgebirge. Dieses ist allerdings unschuldig – es bietet unter werkbit.de maßgeschneiderte Programmierungen an. Google zeigt als zweiten Treffer derzeit noch die URL werkbit.io an. Sie verspricht eine KI-gestützte Konferenzsoftware. Obwohl die Website selbst mittlerweile offline ist, berichten die Jamf-Forscher, dass damit die Gefahl keinesfalls gebannt sei. So nutzen die Angreifer weitere Namen und URLs für die Verbreitung.
CrashStealer verwendet Namen, die auf den ersten Blick unauffällig erscheinen.
Installation von „CrashReporter“Als die Sicherheitsforscher den Installer in einer Testumgebung starteten, konnten sie dessen Vorgehen nachvollziehen: Die Malware wird von einem Command-and-Control-Server geladen und unter dem Namen „CrashReporter“ auf dem Mac installiert. Anders als gewöhnliche Trojaner setzt CrashStealer dabei auf nativen, in C++ programmierten Code, anstatt eine dünne AppleScript-Fassade aufzuziehen. Der Dialog, den die aktive Malware dann im weiteren Verlauf aufruft, ist deshalb auch schwerer als
Fälschung zu erkennen.
Kennwort wird überprüft und eingesetztOb das eingegebene Kennwort legitim ist, wird im Hintergrund durch einen Kommandozeilenbefehl überprüft. Anschließend entsperrt das Programm den Anmeldungsschlüsselbund und extrahiert Kennwörter, Browser-Daten, Krypto-Wallet-Informationen und mehr, um sie als verschlüsselte Archive zu sichern. Danach kopiert sich das Programm selbst und nistet sich mittels eines LaunchAgents dauerhaft ins System ein.
Validiert von Apples NotarisierungDie Entdecker überraschte besonders, dass die Malware eine valide Signatur von Apple aufwies, obwohl die unlauteren Absichten der App in den Programmbestandteilen recht offensichtlich zu erkennen waren. Erst nachdem Jamf Apple mit den eigenen Beobachtungen konfrontiert hatte, zog der Konzern die Notarisierung zurück – zumindest unter dieser einen Signatur ist das Programm nun nicht mehr leicht zu verbreiten. In der Vergangenheit wurde Apple wiederholt
vorgeworfen, dass der Notarisierungsprozess lediglich ein „Sicherheitstheater“ aufführe – der Eindruck verfestigte sich, Apple führe keine ernst zu nehmende Code-Analyse durch. Andererseits gibt es seit April Anzeichen, dass Apple mittlerweile zumindest
automatisierte Scans eingereichter Programme durchführe.