Mac-Trojaner zielt auf Jobsuchende ab und tarnt sich als Chrome-Update – XProtect erkennt ihn nicht
Wenn Betriebssysteme umfangreiche Sicherheitsmechanismen aufweisen, um eine Installation von bösartiger Software zu verhindern, greifen Kriminelle oft zum „Social Engineering“: Sie überreden Anwender, eigenständig Sicherheitsmaßnahmen außer Kraft zu setzen. Eine Methode, welche derzeit offenbar die Runde macht, nennt sich „Contagious Interview“. Sie nutzt die
empfindliche Situation von Jobsuchenden aus, welche in Hoffnung auf eine neue Anstellung an einer Videokonferenz teilnehmen wollen.
Dafür werden auf diversen Job-Suchportalen Stellen ausgeschrieben. Wer sich bewirbt, bekommt einen Link zugeschickt, um an einem Bewerbungsgespräch teilzunehmen. Klicken die Job-Anwärter darauf, bekommen sie eine Fehlermeldung angezeigt – eine passende Software, beispielsweise VCam oder CameraAccess, müsse erst installiert werden. Die Taktik dahinter: Die Befürchtung, eine lukrative Anstellung zu verpassen, soll die Bewerber zum hektischen Installieren verleiten.
Zweite Stufe: Scheinbares Browser-UpdateAuf diese Weise gelangen drei Komponenten namens versus.pkg, InstallerAlert.pkg sowie zoom auf den Mac. Auch ein
LaunchAgent mit dem Namen com.zoom.plist wird installiert. Diese verhalten sich wie das Trojanische Pferd der griechischen Mythologie, indem es zu einem unbeobachteten Zeitpunkt Verstärkung dazu holt: Ein Prozess namens „Chrome Update“ fordert zu einem späteren Zeitpunkt eine Aktualisierung des Google-Browsers an. Auf diesem Weg gelangt dann die tatsächliche Malware auf den Mac, um Daten zu sammeln, auf fremde Server zu senden und neue Befehle zu empfangen.
XProtect wurde aktualisiert – und bereits ausgetrickstAm 30. Januar ergänzte Apple zuletzt das macOS-eigene Erkennungssystem XProtect mit neuen Malware-Signaturen. Diese zielten auf den Vorläufer namens
Frosty Ferret ab. Offenbar reagierten die Malware-Entwickler schnell – die neue Variante namens Flexible Ferret werde aktuell von XProtect nicht erkannt,
berichtet Entdecker SentinelOne. Der Anbieter von Sicherheitssoftware vermutet den Ursprung der Kampagne in Nordkorea.
Übliche Sicherheitsvorkehrungen sind anzuratenMit der gebotenen Vorsicht ist ein gut informierter Mac-Anwender auf der sicheren Seite: Generell sollte man keine Software über Links installieren, welche einem von nicht vertrauenswürdiger Quelle zugeschickt werden. Das Perfide an der „Contagious Interview“ genannten Social-Engineering-Strategie ist es, einen falschen Termindruck zu erzeugen – und somit ein eventuell vorhandenes gesundes Misstrauen zu überlisten.