Betriebssysteme wie macOS weisen grundsätzlich sehr umfangreiche Sicherheitsmechanismen auf, um etwa die Installation von Malware zu verhindern. Hacker finden dennoch immer wieder Möglichkeiten, diese zumindest partiell auszuhebeln, um Schadprogramme einschleusen zu können. Das Sicherheitsunternehmen Mosyle macht nun auf zwei Bedrohungen aufmerksam, die von den gängigen Antivirenprogrammen nicht erkannt werden: „Phoenix Worm“ und „ShadeStager“ richten gegebenenfalls großen Schaden an, indem Zugangsdaten ausspioniert werden, wie 9to5Mac berichtet.


Phoenix Worm bleibt von Antiviren-Scannern unbemerkt
Phoenix Worm fungiert als sogenannter „Stager“ und ist darauf ausgelegt, sich unbemerkt im System einzunisten. Dem infizierten Rechner wird eine eindeutige Kennung zugewiesen. Er überträgt erste Systemdaten an einen Kontrollserver und bereitet alles für den weiteren Download zusätzlicher Malware vor. Das Tool selbst ist somit zunächst eher harmlos, ebnet aber den Weg für weitreichende Angriffe. Mosyle weist zudem darauf hin, dass Antiviren-Programme unter macOS und Linux bislang versagen, wenn es um die Identifizierung der Software geht. Unter Windows war die Erkennung nur eingeschränkt möglich.

ShadeStager möchte vor allem Cloud-Zugangsdaten in Erfahrung bringen
ShadeStager funktioniert hingegen anders: Das Schadprogramm extrahiert wertvolle Daten aus bereits kompromittierten Systemen. Mosyle betont jedoch, dass Phoenix Worm und ShadeStager nicht miteinander in Verbindung stehen. Letzteres legt den Fokus auf Entwickler- und Cloud-Umgebungen und greift unter anderem SSH-Keys sowie Cloud-Zugangsdaten von Anbietern wie Amazon Web Services, Azure und Google Cloud ab. ShadeStager macht selbst vor vollständigen Browserprofilen nicht Halt und legt auf diese Weise gespeicherte Anmeldedaten und aktive Sitzungen offen.

Vorsichtsmaßnahmen ergreifen
Da viele Infektionen voraussetzen, dass eine Software lokal ausgeführt wird, ist bei jeder Installation besondere Vorsicht geboten: Programme sollten selbstverständlich nur aus vertrauenswürdigen Quellen stammen. Skripte, die weitreichende Berechtigungen erfordern, gilt es vor der Ausführung gründlich zu prüfen. Zugriffsrechte bedürfen der strengen Kontrolle. Ferner empfiehlt es sich, das System auf dem aktuellen Stand zu halten.