Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Malware-Report: Cryptominer haben macOS im Visier

macOS verfügt bekanntlich über eine Reihe von Sicherheitskomponenten, welche die Nutzer der Notebooks und Desktops aus Cupertino vor Schadsoftware bewahren sollen. Apple hat den Malware-Schutz in den vergangenen Jahren stetig verbessert. Unter anderem beinhaltet das Betriebssystem seit geraumer Zeit einige Tools, die ähnlich arbeiten wie Anti-Viren-Programme. Macs sind daher – und wegen anderer Maßnahmen – nicht sehr anfällig für Angriffe etwa mit Ransomware oder Trojanern. Was allerdings nicht bedeutet, dass keine Gefahr besteht, sich einen Schädling einzufangen. Erst jüngst tauchte etwa eine neue Malware namens Cannabis auf, die Passwörter und Kreditkartendaten ausspioniert.


Sechs Prozent aller Schädlinge auf Macs entdeckt
Elastic Security Labs hat jetzt zum zweiten Mal die Verbreitung von Schädlingen untersucht. Das Unternehmen nimmt dabei in seinem aktuellen Global Threat Report die drei Betriebssysteme macOS, Windows und Linux in den Blick. Wie schon beim ersten Bericht, welcher im Herbst vergangenen Jahres erschien, weist das Betriebssystem aus Cupertino den niedrigsten Wert auf, was den Befall mit Schadsoftware angeht. Lediglich sechs Prozent aller entdeckten Malware-Infektionen betrafen Macs, Windows (39 Prozent) und Linux (54 Prozent) waren deutlich häufiger im Visier von Angreifern. Auf welche Art und Weise Elastic Security Labs diese Zahlen ermittelt hat, ist nicht bekannt. Das Unternehmen verweist lediglich darauf, über viele verschiedene Datenquellen und Sensoren zu verfügen.


Quelle: Elastic Security Labs

Cryptominer setzt sich auf macOS an die Spitze
Bei 75 Prozent der auf den drei Betriebssystemen entdeckten Schädlinge handelt es sich dem Global Threat Report zufolge um Trojaner. Bei macOS verzeichnete Elastic Security Labs eine signifikante Veränderung im Vergleich zur Analyse von Herbst 2022. Die früher mit 50 Prozent aller Infektionen vorherrschende Adware MacKeeper wurde vom einem bekannten Cryptominer namens XMRig abgelöst ab. Dieser kam auf einen Anteil von 39 Prozent, gefolgt von der unter anderem zum Einschleusen von Ransomware eingesetzten Malware XCSSET (19 Prozent). Die Plätze drei und vier belegen die Adware Adload sowie die Schnüffelsoftware Aobokeylogger. MacKeeper spielt in der aktuellen „Rangliste“ keine Rolle und taucht in den Top-Ten nicht einmal mehr auf.

Kommentare

konnektor28.04.23 12:10
MTN
MacKeeper spielt in der aktuellen „Rangliste“ keine Rolle und taucht in den Top-Ten nicht einmal mehr auf.
Die haben ja auch ein Zertifikat von Apple erhalten und sind jetzt die Guten.
0
Marcel_75@work
Marcel_75@work28.04.23 12:24
XMRig auf Platz 1 ist doch aber einfach nur ein "Open Source"-Miner?



Auf welchem Wege wird der denn dann unter macOS verteilt/eingeschleust? Und was für "Schaden" richtet der dann an, außer die CPU/GPU zu belasten?
+2
MacKaltschale28.04.23 12:26
Marcel_75@work
XMRig auf Platz 1 ist doch aber einfach nur ein "Open Source"-Miner?



Auf welchem Wege wird der denn dann unter macOS verteilt/eingeschleust? Und was für "Schaden" richtet der dann an, außer die CPU/GPU zu belasten?

Deinen Strom verbrauchen und somit Geld kosten.
+2
anaximander28.04.23 12:41
Wie ist das bei Webseiten?

Ich hatte es bei einer Webseite von einer der größten Zeitungen, daß beim Aufrufen eines Artikels dort sofort der Lüfter meines Intel Macs auf Maximum drehte.

Daher habe ich den Verdacht, daß es womöglich über Bannerwerbung möglich sein könnte, daß Javascript ausgeführt wird, wodurch dann Cryptomining wohl möglich wäre.
Ist das realistisch?
+3
marm
marm28.04.23 12:42
Applejeus, Backtrack, Bundlore, Eggshell, Maxofferdeal, Thiefquest haben alle einen gleich langen Balken und sind alphabetisch sortiert. Das könnte künstlerische Freiheit sein oder heißt schlicht, dass jeder Vorfall genau 1x auftrat.
Wenn ich das von allen Balken zusammenzähle, haben wir 42 Mac-Ereignisse (n=42), die für 6 % aller Vorfälle stehen (n=700). Das ist nicht gerade viel. Davon entfallen 378 auf Linux. Warum ausgerechnet Linux? Weil die Kunden überwiegend Linux einsetzen?
Die genannte Malware ist teils vielleicht schlechte Software (z.B. Adware), aber nicht unbedingt eine gefährliche Attacke (wie XCSSET). Und wäre XCSSET überhaupt beim Mac erfolgreich gewesen?

MTN
MacKeeper spielt in der aktuellen „Rangliste“ keine Rolle und taucht in den Top-Ten nicht einmal mehr auf.
Jenseits der Top Ten gibt es vermutlich nichts mehr oder es kommt im Alphabet nach "T".
+3
Stefab
Stefab28.04.23 15:55
anaximander
Daher habe ich den Verdacht, daß es womöglich über Bannerwerbung möglich sein könnte, daß Javascript ausgeführt wird, wodurch dann Cryptomining wohl möglich wäre.
Ist das realistisch?
Hm, theoretisch wüsste ich jetzt nicht (zumindest auf die Schnelle) was dagegen spricht. Wobei doch: CORS könnte sowas evtl. verhindern? Weil man dann von JS keine Verbindungen zu anderen Webseiten aufbauen kann, das geht nur im Backend uneingeschränkt. Vielleicht kommt man da aber auch irgendwie drum herum?
Nur mit Werbebanner ist wohl schwierig, denke ich mal. Auf einer beliebigen Webseite, wo auch das Backend mitarbeiten kann, sollte es aber leicht umzusetzen sein.
Vielleicht eh keine schlechte Idee, statt Werbung auf einer News-Seite lässt man die Besucher Crypto-Mining betreiben …
+1
anaximander30.04.23 16:34
Stefab
anaximander
Daher habe ich den Verdacht, daß es womöglich über Bannerwerbung möglich sein könnte, daß Javascript ausgeführt wird, wodurch dann Cryptomining wohl möglich wäre.
Ist das realistisch?
Hm, theoretisch wüsste ich jetzt nicht (zumindest auf die Schnelle) was dagegen spricht. Wobei doch: CORS könnte sowas evtl. verhindern? Weil man dann von JS keine Verbindungen zu anderen Webseiten aufbauen kann, das geht nur im Backend uneingeschränkt. Vielleicht kommt man da aber auch irgendwie drum herum?
Nur mit Werbebanner ist wohl schwierig, denke ich mal. Auf einer beliebigen Webseite, wo auch das Backend mitarbeiten kann, sollte es aber leicht umzusetzen sein.
Vielleicht eh keine schlechte Idee, statt Werbung auf einer News-Seite lässt man die Besucher Crypto-Mining betreiben …

Im fraglichen Falle gehe ich davon aus, daß das Backend der Webseite eher nicht involviert war, ungefragt die CPU-Ressourcen der Besuchen zu nutzen. Ich meine, das wäre focusonline.de gewesen.
Evtl. wurde besonders ineffizienter JS code irgendwoher kopiert und eingefügt.
Es gibt im Netz aber natürlich andere Webseiten, wo es den Betreibern nicht darauf ankommen dürfte, daß sie eine gute Reputation haben oder sonst wie Gesetze beachten. Da könnte ich mir eher vorstellen, daß auch die Webseite selbst böswillig ist.
0
ttwm30.04.23 18:03
anaximander
Wie ist das bei Webseiten?
Ich hatte es bei einer Webseite von einer der größten Zeitungen, daß beim Aufrufen eines Artikels dort sofort der Lüfter meines Intel Macs auf Maximum drehte.
Gerade mal focus.de besucht, "alle ablehnen" deaktiviert zwar Cookies, nichts desto trotz werden zig Verbindungen zu anderen Websites (Google, Ads-Gedöns und Metrik-Seiten) aufgebaut, die u. a. fleißig JavaScript-Code nachladen und ausführen. Abgesehen davon, dass das nicht erwünscht ist, kann man natürlich mit vielen unabhängigen JS-Codes den Rechner zu "Höchstleistungen" treiben, wenn der Code nicht aufeinander abgestimmt ist.
+1
Stefab
Stefab30.04.23 23:58
anaximander
Im fraglichen Falle gehe ich davon aus, daß das Backend der Webseite eher nicht involviert war, ungefragt die CPU-Ressourcen der Besuchen zu nutzen. Ich meine, das wäre focusonline.de gewesen.
Evtl. wurde besonders ineffizienter JS code irgendwoher kopiert und eingefügt.
Es gibt im Netz aber natürlich andere Webseiten, wo es den Betreibern nicht darauf ankommen dürfte, daß sie eine gute Reputation haben oder sonst wie Gesetze beachten. Da könnte ich mir eher vorstellen, daß auch die Webseite selbst böswillig ist.
Es könnte natürlich schon auch sein, dass man mit JS alleine im Browser von Fremden Kryptomining betreiben, um das besser zu analysieren, kenne ich mich zu wenig mit den Hintergründen zum mining aus. Also braucht der code irgendwelche externen Daten? Ergebnisse wird es aber wohl irgendwo hinschicken müssen, sonst wird das vermutlich nix bringen?
Normalerweise sollte es wohl SOP (Same Origin Policy) sein, aber in vielen Fällen muss man eh öffnen. Habe mich schon gefragt, wenn man Frontend getrennt vom Backend hat, muss das Backend für alle Adressen offen sein, oder? Weil die Anfragen vom Frontend können ja von (nahezu) jeder IP kommen, kann man gerade nicht vorstellen, was man da einschränken könnte.
Vielleicht kennt sich jemand besser aus mit dem Thema? Bin damit nur sehr am Rande in Berührung bekommen, es würde mich aber schon sehr interessieren!
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.