Neuartige Schadsoftware trickst Apples Gatekeeper aus: Mac-User sollten wachsam sein

Die Auseinandersetzung zwischen den Herstellern von Betriebssystemen und Malware-Programmierern gleicht seit Jahrzehnten einem Wettlauf zwischen Hase und Igel. Während etwa Apple und Microsoft macOS und Windows mit ausgefeilten Methoden besser abzusichern versuchen, umgehen Hacker und Kriminelle die Schutzvorkehrungen immer wieder und hebeln sie aus. Eine neuartige Schadsoftware gefährdet aktuell unter anderem die Besitzer von Macs, auf welchen macOS Catalina zum Einsatz kommt.


Altes Muster mit neuem Trick
Die Sicherheitsforscher von Intego machten jetzt eine Malware ausfindig, welche zwar nach einem seit langem bekannten Muster vorgeht, durch einen neuen Trick jedoch Apples Sicherheitsmechanismen überwinden kann. Wie zahlreiche bereits in der Vergangenheit entdeckte Mac-Schadsoftware kommt sie im Gewand eines Flash-Installers daher. Dem Nutzer wird dabei mithilfe von manipulierten Suchergebnissen auf Google suggeriert, dass sein Flash Player veraltet ist und ein Update benötigt. Bestätigt der User die fingierte Warnmeldung mit OK, wird wie auch bei seriösen Anwendungen ein Laufwerks-Image mit der Dateiendung DMG heruntergeladen. Nach dem Öffnen präsentiert die Malware dann den üblichen Installationshinweis. Dieser unterscheidet sich allerdings von den bekannten Anleitungen in einem entscheidenden Punkt.


Gatekeeper wird mithilfe des Nutzers ausgetrickst
Die Malware, bei der es sich Intego zufolge um eine Weiterentwicklung der Trojaner OSX/Shlayer und OSX/Bundlore handelt, fordert nämlich nicht dazu auf, das angebliche Flash-Installationsprogramm durch einen Doppelklick zu starten. Vielmehr soll der Nutzer einen Rechtsklick auf das Icon ausführen und dann auf "Öffnen " klicken. Dieses Verfahren veranlasst Apples Gatekeeper, nicht den normalen Warnhinweis anzuzeigen, welcher lediglich den Abbruch der Installation oder das Löschen der Software anbietet. Statt dessen erscheint ein Pop-Up-Fenster, das zusätzlich die Möglichkeit bietet, die App unmittelbar zu starten. Klickt der Nutzer auf "Öffnen", installiert der Trojaner zunächst tatsächlich den Flash Player, anschließend allerdings Schadsoftware, welche unter Umständen weitere Malware nachlädt.

Malware verbreitet sich bereits über das Internet
Intego zufolge verbreitet sich die neuartige Schadsoftware bereits über das Internet, der Trick kommt also schon aktiv zum Einsatz. Zum Zeitpunkt der Entdeckung wurde der Trojaner von keiner Antiviren-Software erkannt. Es dürfte allerdings nicht allzu lange dauern, bis die Hersteller die entsprechenden Signaturen in ihre Definitionsdateien aufgenommen haben. Die Gefahr, von diesem Trojaner befallen zu werden, ist jedoch ohnehin eher als gering einzustufen, da er ohne die Mithilfe des Nutzers nicht auf einen Mac gelangen kann. Zudem sollte sich mittlerweile herumgesprochen haben, dass Flash nahezu bedeutungslos ist. Adobe stellt den Player bekanntlich zum Ende dieses Jahres ein.

Kommentare

erikhuemer
erikhuemer19.06.20 12:04
Im Prinzip *gähn*, Weil’s ja eher Social Engineering als wirkliches Ausnützen einer Sicherheitslücke ist (eh auch); leider fallen überraschen viele drauf rein. 🙀
Der Fortgang der wissenschaftlichen Entwicklung ist im Endeffekt eine ständige Flucht vor dem Staunen. Albert Einstein
+1
andreas_g
andreas_g19.06.20 12:05
Naja, die Malware trickst nicht den Gatekeeper aus, sondern den Nutzer. Das sollte man schon klarstellen.
+21
jeti
jeti19.06.20 12:16
Wer nutzt eigentlich noch Flash auf dem Mac?
+17
tom150219.06.20 13:06
jeti

Menschen die einen PAX Schrank von Ikea planen wollen... 🤦🏼‍♂️
Timeo Danaos et dona ferentes
+7
jokermainz
jokermainz19.06.20 13:40
tom1502

Es gibt wesentlich mehr Laien als Profis wie Ihr - also bitte ein wenig vorsichtiger mit dieser „Spaßmacherei“ ...
Es gibt nichts, das man nicht lernen könnte ...
+6
teorema67
teorema6719.06.20 13:52
andreas_g
Naja, die Malware trickst nicht den Gatekeeper aus, sondern den Nutzer. Das sollte man schon klarstellen.

Seit gefühlt 20 Jahren folgt man keinen solchen vorgeschlagenen Update-Links, sondern man geht, wenn überhaupt, auf die offizielle Seite des Herstellers.

Und Flash braucht eh niemand.
«Tutte le famiglie felici si assomigliano fra loro, ogni famiglia infelice è infelice a suo modo.» (Lev Tolstòj)
+9
oculi19.06.20 14:17
Intego mal wieder.
Seit gefühlten 20 Jahre tauchen die immer wieder mit solchen pseudo gehypten Virenmeldung auf. In dem Artikel fehlte jetzt nur noch der (früher immer vorhandene) Hinweis auf das gerade verfügbare Sonderangebot der Intego Software, die diese gemeldete Malware natürlich ganz sicher findet und beseitigt.
Das es die überhaupt noch gibt ... wer hat deren Software heute noch auf dem Rechner?
+4
WollesMac
WollesMac19.06.20 14:17
Adobe connect nutzt noch Flash... echt blöd kaum installiert und schon erste Abstürze - aber wenn es der Arbeitgeber so will, ist ja bezahlte Arbeitszeit 🤪
+3
Sindbad19.06.20 14:36
Danke für die Warnmeldung !

Ich benutze zwar länger kein Flash mehr, aber um "Brain 2.0" wachsam zu halten, ist es sehr hilfreich, die aktuellen Hinterhältigkeiten zu kennen.
+11
ronny332
ronny33220.06.20 15:01
Da spricht wohl wirklich die Unwissenheit und das Apple Prinzip "Der Benutzer muss sich nicht einarbeiten, alles geht intuitiv" deutliche Sprache. Beim lesen der Überschrift dachte ich wirklich an eine neue Angriffstechnik, aber als nur halb informierter Nutzer sollte man "Rechtsklick + Öffnen" schon vor einigen Jahren als "neue" Umgehung der einst eingeführten Sicherheitsregeln erkannt haben. Nutze ich natürlich nur App-Store oder andere Teile des Apple Universums, bleibt mir das Vorgehen unbekannt.

Meine Aussagen sollen übrigens nicht "Apple macht das falsch, so geht's besser" verstanden werden, es sind einfach Nebeneffekte der Unwissenheit, die ja letztlich sogar gefragt und gefördert werden.
+1
MOTIVHIMMEL
MOTIVHIMMEL25.06.20 23:13
Dann kriegt mein Mac nun auch einen Mundschutz und gut is. Kann er sich nicht mehr anstecken.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.