Macs als Malware-Ziel: Ein Trojaner stach 2019 besonders hervor

Kapersky warnt vor einem für Mac-Verhältnisse weitverbreiteten Trojaner, der Apple-Rechner seit über zwei Jahren befällt. Die Rede ist von „Shlayer Trojan“. Die Schadsoftware war 2019 die größte Trojaner-Gefahr für den Mac, so die Sicherheitsfirma. 10 Prozent aller Apple-Computer seien vergangenes Jahr davon angegriffen worden. Bei fast einem Drittel aller Malware-Entdeckungen im angesprochenen Zeitraum handelte es sich um Shlayer.


Manipulierte Links führen zu Shlayer
Der gefährliche Trojaner richtet selbst zwar keinen Schaden an, dient aber als Einfallstor für weitere Malware, Adware und andere Sicherheitsbedrohungen. Kapersky beschreibt den Prozess, wie das Tool normalerweise auf Macs gelangt. Ausgangspunkt ist meist der Klick auf eine manipulierte Seite oder Link, worüber Shlayer heruntergeladen wird. Tausende von Websites enthalten den Link, so der Bericht. Dabei handelt es sich nicht nur um zwielichtige Internetplattformen. Auch über YouTube lässt sich die Schadsoftware verteilen, indem Nutzer beispielsweise einen manipulierten Link in die Beschreibung eines hochgeladenen Clips legen.

Beim Klick auf besagten Link kommen Nutzer meist auf Websites, die mit erfundenen Vorwänden dazu auffordern, Software herunterzuladen – etwa weil der vermeintlich installierte Flashplayer ein Update benötige. Wenn Anwender den „Download Flash“ Button anwählen, ziehen sie sich erwartungsgemäß keine Aktualisierung der Adobe-Software auf den Rechner, sondern den Trojaner.

Bei der Installation muss der Nutzer sein Account-Passwort angeben. Sobald die Software installiert ist, lädt sie weitere Malware herunter, für deren Installation jedoch auch jeweils eine Passwortangabe erforderlich sein sollte. Wer sich also hinsichtlich der Programme auf dem eigenen Rechner vorsieht und nicht alles einfach anklickt und abhakt, beugt der Gefahr bereits ein gutes Stück vor.

Safari-Extensions als potenzielle Schwachstelle
Einige Varianten von Shlayer sollen sich in der Vergangenheit als Safari-Extension eingeschleust haben, um den normalen Install-Prozess zu umgehen. Da Apple in Safari 13 aber nur noch Erweiterungen über den Mac App Store zulässt, dürfte sich dieses Risiko mittlerweile erübrigt haben – sofern Mac-Nutzer die neueste Software einsetzen. Zum Aufspüren von Malware auf Apple-Rechnern eignen sich übrigens Tools wie Malwarebytes.

Kommentare

Windwusel
Windwusel24.01.20 17:12
Ich dachte ich müsse nun eine Anti-Viren Software einsetzen. Dann kam ich bei diesem Abschnitt an:
Beim Klick auf besagten Link kommen Nutzer meist auf Websites, die mit erfundenen Vorwänden dazu auffordern, Software herunterzuladen – etwa weil der vermeintlich installierte Flashplayer ein Update benötige. Wenn Anwender den „Download Flash“ Button anwählen, ziehen sie sich erwartungsgemäß keine Aktualisierung der Adobe-Software auf den Rechner, sondern den Trojaner.

Aber warum gerade die Apple User, die ja schon durch Steve Jobs gegen Flash sensibilisiert wurden, versucht mit Flash geködert zu werden erschließt sich mir nicht. Aber irgendjemand fällt immer auf solche Dinge ein.
MacBook Pro mit Touch Bar (15-inch, 2018), iPhone 12 Pro Max und iPhone X, AirPods (1. Gen) & AirPods Pro (1. Gen), Apple TV 4K (1. Gen) und HomePod (1. Gen)
+4
Papierlos24.01.20 17:38
Quelle: Kaspersky-Bericht
...one in ten of our Mac security solutions encountered this malware at least once...
Kleiner aber feiner Unterschied: Nicht 10 % aller Apple-Computer, sondern 10 % derjenigen, die Kaspersky installiert haben.
Oder sarkastisch ausgedrückt: Wer schon Malware installiert hat, installiert auch eher weitere Malware.
+19
maculi
maculi24.01.20 17:41
Man könnte jetzt auch einfach bösartig sein und sagen, wer im Jahr 2019 noch immer Flash nutzt muss eben durch Schaden endlich klug werden.
+4
becreart
becreart24.01.20 18:31
Windwusel

Aber warum gerade die Apple User, die ja schon durch Steve Jobs gegen Flash sensibilisiert wurden, versucht mit Flash geködert zu werden erschließt sich mir nicht. Aber irgendjemand fällt immer auf solche Dinge ein.

wie viel % der mac user wissen das? 2% 5% — 10%?
+2
Peter Eckel24.01.20 18:50
Die übliche Schlangenölmühlen-Panikmache also.

Gähn.
Ceterum censeo liberum facierum esse delendum.
+1
Mecki
Mecki24.01.20 19:20
Dabei handelt es sich nicht nur um zwielichtige Internetplattformen. Auch über YouTube
Wer genau hat denn definiert, dass YouTube keine zwielichtige Internetplattform ist? Und warum müssen die Leute immer überall drauf klicken? "Oh, schau her, ein Link... mal lesen ... wenn sie diesen Link klicken, wird ihr Computer zerstört... hmmm... ich frag mich was da wohl komm... ach was, ich klick da mal drauf"

Beim Klick auf besagten Link kommen Nutzer meist auf Websites, die mit erfundenen Vorwänden dazu auffordern, Software herunterzuladen
Mit eines der ersten Dinge, die ich meiner Mutter beigebracht habe, als ich sie aufs Internet losgelassen habe, war folgendes:
"Wenn du eine Webseite öffnest und da kommt eine Meldung, dass du eine Software herunter laden sollst, weil du sonst die Webseite nicht benutzen kannst - nicht machen! Stattdessen machst du die Seite sofort zu und gehst nie wieder da hin. Alle Software, die du brauchst, habe ich schon installiert, eine Webseite, die damit nicht funktioniert, ist kaputt und installierst du irgendwas von der, ist am Ende dein ganzer Rechner kaputt!"
Hat bis heute gut funktioniert.

Einige Varianten von Shlayer sollen sich in der Vergangenheit als Safari-Extension eingeschleust haben, um den normalen Install-Prozess zu umgehen.
Deswegen nutzen meine Mutter und ich, und praktisch der ganze Rest meiner Familie, Firefox als Primärbrowser. Natürlich hat auch der mal eine Lücke, aber der ist nicht so tief ins System integriert wie Safari. Von dem aus einen Mac zu übernehmen ist viel schwieriger.
+7
sierkb24.01.20 19:51
Objective-See, Patrick Wardle (01.01.2020) The Mac Malware of 2019 👾
a comprehensive analysis of the year's new malware ,
alternativ auch als PDF (PDF, 74 Seiten),
incl. OSX.Shlayer, excl. Adware, excl. PUAs

Objective-See, Patrick Wardle (01.01.2019) The Mac Malware of 2018
a comprehensive analysis of the new mac malware of '18 ,
incl. OSX.Shlayer, excl. Adware, excl. PUAs
-2
sierkb24.01.20 19:57
#!/bin/sh

# Print and count macOS/iOS Malware signatures of macOS XProtect.plist

xmllint --format /System/Library/CoreServices/CoreTypes.bundle/Contents/Resou rces/XProtect.plist \
| awk -F'>|<' '/Description/{getline; print $3}' | sed '/^$/d' | nl -n ln -w 10

exit

vs. z.B.

https://clamxav.com/defs/ClamXav.hdb
#!/bin/sh

# Print and count macOS/iOS Malware/Adware/PUA signatures of ClamXav.hdb
curl -s https://clamxav.com/defs/ClamXav.hdb | nl -n ln -w 10

exit

Stand: 24.01.2020, 19:49 Uhr.
-3
sierkb24.01.20 20:22
Objective by the Sea v. 3.0 – The Mac Security Conference v3.0: Maui, Hawaii, 11.-13.03.2020

Objective by the Sea v. 3.0: Conference Talks & Tools
We're stoked for the following presentations and tool demos!
Objective by the Sea v. 3.0: Conference Schedule

Interessante Speaker, interessante Themen. Mal wieder.


Vergangenes und vorvergangenes Jahr:

Objective by the Sea v. 2.0 – The Mac Security Conference, Monte Carlo, Monaco, 01./02.06. 2019 , Speakers & Talks

Objective by the Sea v. 1.0 – a Mac Security Conference in Maui, Hawaii, 03./04.11.2018 , Speakers & Talks
-3
Steph@n
Steph@n24.01.20 21:11
Manche fallen auch immer noch auf den Enkeltrick rein!
+1
sierkb24.01.20 21:19
Steph@n
Manche fallen auch immer noch auf den Enkeltrick rein!

Oder auf den "Ich hab' ein Video für Dich"-Trick, wie der Elektrotechniker und Informatiker Jeff Bezos

Oder auf den "Wir finanzieren unsere Webseite mit Werbe-Bannern"-Trick…

Oder oder oder. …

Und am Ehesten trifft es immer die, die meinen, sie selbst würde es nicht treffen – genau die, die sich am Meisten in gefühlter und trügerischer Sicherheit wiegen, und nur alle Anderen wären blöd – genau die sind erst recht bevorzugtes Ziel – weil sie so schön arglos und nichtsahnend sind und sich ach so sicher fühlen.
+6
Eintagsfliege
Eintagsfliege25.01.20 00:42
Also alle die sich hier drüber lustig machen, denen wünsche ich ja mal das die selber drauf rein fallen und sich solch einen Trojaner einfangen...

Ist ja nicht jeder von Geburt an sofort so klug alle möglichen Lebenserfahrungen zu haben, was man genau am computer anklicken darf und was nicht! Außerdem scheint es ja auch hin und wieder mal so gewesen zu sein, das selbst im app store apps mit trojaner versehen gewesen sein sollen. Im iphone store zumindest.
MacBook Pro (Retina, 15&quot;, Mitte 2015) 2,8GHZ (A1398)
+1
pcbastler26.01.20 20:12
Eintagsfliege: Wenn ich nicht schwimmen kann, dann springe ich nicht in ein Becken voller Haifische (oder wenn ich es doch tue, wundere ich mich nicht, wenn ich gefressen werrde).

Es ist wohl inzwischen wohlbekannt, dass sich im Internet jede Menge böser Menschen tummeln und es nur auf das Beste ihrer Mitmenschen abgesehen haben, nämlich deren Geld.
Wenn ich dann noch immer alles anklicke, was nicht bei 3 auf den Bäumen ist, dann ist mir nicht mehr zu helfen. Und wenn ich dann auch noch meine Accountdaten (resp. die Adminkennung des Rechners) eingeben soll, nur weil ich im Web surfen will, spätestens dann sollte ich mein Gehirn einschalten.
0
Peter Eckel26.01.20 20:27
„Manchmal fühlt man sich als ITler wie ein Schafhirte.
Allerdings sind die Schafe betrunken.
Und brennen!
Und klicken überall drauf!!“

Ceterum censeo liberum facierum esse delendum.
-1
ratti
ratti27.01.20 13:16
Ihr Schlaumeier. Wenn man EXAKT die gleiche Meldung bekommt, die seit 25 Jahren zu einem Plugin-Update auffordert, wie soll der Laie das denn feststellen?
-2
Peter Eckel27.01.20 13:27
ratti
Ihr Schlaumeier. Wenn man EXAKT die gleiche Meldung bekommt, die seit 25 Jahren zu einem Plugin-Update auffordert, wie soll der Laie das denn feststellen?
Durch einen Blick auf die URL des Links?
Ceterum censeo liberum facierum esse delendum.
0
Legoman
Legoman27.01.20 13:52
Puh, ich sollte wohl doch endlich mal den MacKeeper installieren, von dem immer alle sprechen...
+4

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.