Signierter Schädling greift OS-X-Nutzer an

Wie verschiedene Sicherheitsunternehmen melden, befindet sich ein neuer Schädling im Umlauf, der sich gleichermaßen an Nutzer von OS X und Windows richtet und verschiedene Wege nutzt, um unbemerkt auf dem Zielsystem eine Hintertür zu installieren, mit der die Angreifer System und Daten kontrollieren können. Die als PDF-Dokument getarnte Software ist in der OS-X-Variante signiert. Nutzer werden in den Standard-Einstellungen von OS X daher nicht darauf aufmerksam gemacht, dass es sich um eine App handelt. Zudem ist die App durch Rechts-nach-Links-Zeichen so geschickt benannt, dass OS X nach dem Herunterladen des Trojaners keine sinnvolle Warnung beim Öffnen des Schädlings anzeigt.


Einmal im System festgesetzt, versucht der Schädling über präparierte YouTube-Beschreibungen die Adresse des Kontrollzentrums der Angreifer zu ermitteln, und die Hintertür entsprechend zu öffnen. Um sich vor dem Schädling zu schützen, sollten Nutzer bei unlesbaren Warnungen das Öffnen abbrechen und die geladene Datei umgehend löschen.

Weiterführende Links:

Kommentare

teorema67
teorema6725.07.13 11:15
Wo ist gerade die "AV for Mac=Malware-Fraktion"?
Vornehme Leute haben immer viel Müll (badisches Sprichwort)
0
Corky
Corky25.07.13 11:17
Also wer so eine Meldung mit "Open" bestätigt ist auch irgendwie selber dran schuld!
0
Gerhard Uhlhorn25.07.13 11:18
Endlich mal ein richtiger Schädling für den Mac. Ich dachte schon, die schaffen es nie einen zu schreiben.

Aber der wird sowieso schnell wieder einkassiert (hoffentlich).
0
Andi Schenk
Andi Schenk25.07.13 11:26
Die Frage wird sein, wann
- Apple das Zertifikat des betr. Entwicklers invalidiert
- ob dieser für die Schäden haftbar gemacht werden kann (ist dieser selbst der Malware-Herausgeber oder wurde ihm sein Private Key & Codesigning Zertifikat gestohlen ?)
0
Hot Mac
Hot Mac25.07.13 11:27
Reinlassen muß man den Schädling aber immer noch selbst.

Da haben die Jungs also nichts Bahnbrechendes erschaffen.
0
tippmam
tippmam25.07.13 11:27
Na toll, jetzt kommt gleich wieder mein Arbeitskollege an und sagt : "Siehste, es gibt doch Viren auf dem Mac!"
0
Eventus
Eventus25.07.13 11:32
…gitsul tsi esiewbiersch red tim eedi eid
Live long and prosper! 🖖
0
Gerhard Uhlhorn25.07.13 11:35
tippmam
Na toll, jetzt kommt gleich wieder mein Arbeitskollege an und sagt : "Siehste, es gibt doch Viren auf dem Mac!"
Nur, dass es kein Virus ist. Es ist eher ein Trojaner, denn der Benutzer muss es selbst installieren.
0
klapauzius25.07.13 11:53
Mit dem Einbruch in's Dev Center hat sich das mit den Zertifikaten bzw. dem Signieren wohl erledigt.

Blöd, wenn man auf der einen Seite mit viel Aufwand solche Pseudo-Sicherheits-Mechanismen in's OS integriert, auf der anderen Seite dann aber die eigenen Server, auf denen die Zertifikate liegen so "professionell" sichert wie Apple. Da dürfte in naher Zukunft noch so einiges an lustigen Dingen passieren.

Aber Hauptsache die Leute kaufen weiter iPhones. Naja, von mir aus.
0
Quickmix
Quickmix25.07.13 11:57
Wer installiert sich denn sowas?
Ein pdf mit unsinniger Beschreibung.

0
Eventus
Eventus25.07.13 12:00
klapauzius
Aber Hauptsache die Leute kaufen weiter iPhones. Naja, von mir aus.
Nur die alten Münzfernsprecher waren sicherer als das iPhone. Allen anderen modernen Handys sinds nicht. Deine Bemerkung ist also einfach nur doof (zumal es hier um OS X geht), richtig?
Live long and prosper! 🖖
0
johnnyb25.07.13 12:00
Eventus
…gitsul tsi esiewbiersch red tim eedi eid

Find ich auch...

(Und dass du sch für einen Buchstaben hältst )
0
Gerhard Uhlhorn25.07.13 12:02
Eventus
…gitsul tsi esiewbiersch red tim eedi eid
Ja, stimmt, das hat schon Witz. Wobei das ein einigermaßen wacher Mensch durchaus hätte lesen können.

„esiewbiersch“ müsste übrigens „esiewbierhcs“ heißen.
0
sierkb25.07.13 12:02
tippmam,
Gerhard Uhlhorn:

Wie oft denn noch?

Hier mal zwei öffentliche Klarstellungen zum Einprägen:

The Safe Mac (05.07.2013): “There are no Mac viruses”

ZDNet (10.05.2012): Ed Bott: When I say 'virus,' you know exactly what I mean



Zudem & @Andi Schenk:
Andi Schenk
Die Frage wird sein, wann - Apple das Zertifikat des betr. Entwicklers invalidiert

The Safe Mac (15.07.2013): New signed malware called Janicab :
Updates
July 16, 2013: Looks like the developer certificate used to sign this trojan has already been revoked. I just tested it, and trying to open the app now results in only two choices: cancel or move it to the trash.

Zudem:

The Safe Mac (15.07.2013): FBI ransomware “virus” rampant
0
sierkb25.07.13 12:10
klapauzius
Mit dem Einbruch in's Dev Center hat sich das mit den Zertifikaten bzw. dem Signieren wohl erledigt.

Blöd, wenn man auf der einen Seite mit viel Aufwand solche Pseudo-Sicherheits-Mechanismen in's OS integriert, auf der anderen Seite dann aber die eigenen Server, auf denen die Zertifikate liegen so "professionell" sichert wie Apple. Da dürfte in naher Zukunft noch so einiges an lustigen Dingen passieren.

+1

Siehe passend dazu auch Apples Zertifikate Sevices, die sind derzeit laut Apples gestern freigegebener System-Status-Seite immer noch down bzw. unter Apple Root Certification Authority bisher nur teilweise zurückgezogen und erneuert worden.
0
Blubs
Blubs25.07.13 12:17
sierkb

Wie oft denn noch?

Du sagst es
0
Gerhard Uhlhorn25.07.13 12:18
sierkb
Gerhard Uhlhorn:

Wie oft denn noch?
Das frage ich mich bei Dir auch.

Word-Viren betreffen Word, und nicht Mac OS X! Und die gewesenen Proof-of-Concept-Viren sind erstens keine Viren in freier Wildbahn, und setzten zweitens auf damals vorhandenen Sicherheitslücken auf.

Daus folgt:
Es gibt zurzeit keine Viren für den Mac. Und da sich Viren auf dem Mac nur in seltenen Fällen ausbreiten können – denn sie benötigen dafür einen geeigneten Defekt (Sicherheitsleck) im System – gibt es auch kein Virenproblem auf dem Mac. Daher hat es seit Anbeginn von OS X keine (echte) Virenbedrohung für den Mac gegeben.

Und das wird auch so lange so bleiben, wie keine gefährlichen Sicherheitslecks in OS X auftauchen. Und wenn mal welche auftauchen, werden die sicher auch schnell wieder geschlossen sein, so dass ein Virenproblem nur sehr kurz auftreten wird – falls überhaupt. Dann aber kann es sehr gefährlich werden, das ist wahr.

So, ich hoffe, dass das jetzt endlich geklärt ist!
0
teacup25.07.13 12:30
@ Gerhard

Ich glaube, siekb bezog sich auf die Korinthenkackerei bezgl Virus <> Trojaner.
0
o.wunder
o.wunder25.07.13 12:32
Bei so einer komischen Meldung würde ich aber sofort Cancel drücken!
0
beanchen25.07.13 12:37
Corky, Hot Mac, Quickmix

Das Standard-Hotline-Gespräch sieht leider so aus:

"Mein Rechner macht was komisches"
"Bekommen Sie eine Fehlermeldung?"
"Heute Morgen war eine Meldung"
"Was stand da drin?"
"Weiß ich nicht, hab ich weggeklickt."

Und mit "weggeklickt" ist nicht all zu selten die Enter-Taste gemeint.
0
sierkb25.07.13 12:45
Gerhard Uhlhorn:

Ich glaube, Du hast beide Artikel nicht verstanden oder willst sie nicht verstehen und praktizierst mit Deiner Antwort genau das weiter, was diese beiden Artikel versuchen, geradezurücken und wo sie Dir widersprechen. RDF, Reality Distortion Field -- bei Dir würde ich sogar fast sagen: hoffnungslos.

Außerdem: Tored.A, Clapzok.A. Sind schon mal per definitionem mindestens 2 Viren/Würmer, die sich durch genau das auszeichnen, womit Viren/Würmer definiert sind: sie verbreiten sich selbst. Und per drive-by-download-Infektionsweg, bei dem keinerlei Benutzer-Aktion notwenig ist, um sich zu infizieren (und der auch nur möglich ist aufgrund von Lücken im System bzw. auf drauf aufsetzender Software wie z.B. Browser/Rendering-Engine/PDFLib/JVM), kannst Du den einen oder anderen der letzten Trojaner ebenfalls hinzuzählen, was das Sich-Verbreiten ohne Nutzer-Interaktion angeht.

Zumal: Du bist hier immer fleißig dabei, Dich an der Wortklauberei zu beteiligen, um unterm Strich das Signal zu geben: es gibt hier nichts zu sehen, alles halb so wild, und dass der Mac ja nicht von den pösen, pösen Viren heimgesucht würde. Dass er aber seit einiger Zeit von mindestens ebenso aggressiven und viel durchtriebeneren Trojanern heimgesucht wird (also genau die gleiche Kacke passiert wie das unter Windows-Systemen auch passiert, die werden seit Jahren nämlich hauptsächlich auch von Trojanern gepiesakt und nicht mehr von Viren), das lässt Du geflissentlich unter den Tisch fallen. Der Trojaner Flashback hat gezeigt, wie umfangreich und schnell der sich vermehren kann und eine noch viel schlimmere Durchseuchung erreichen kann als es die Windows-Plattform gemessen an den Installationszahlen in so kurzer Zeit je erlebt hat!

Höre doch endlich mal auf, Dir selber immer in die Tasche zu lügen, Dir was vorzumachen und hier Wortklauberei zu praktizieren, um vom eigentlichen Problem abzulenken! Der Mac ist inzwischen als Zielplattform für Malware-Schreiber interessant geworden und steht deshalb entsprechend häufiger unter Beschuss (wenn nicht durch Viren, dann aber halt durch die nicht minder gefährlichen Trojaner, die sich, die Vergangenheit hat's eindrucksvoll gezeigt, eben auch verbreiten und einnisten können, OHNE Nutzerinteraktion, ganz heimlich am Nutzer vorbei, und wenn der Nutzer eben nicht "OK" dafür drückt, dann ist's eben im Zweifel aufgrund einer Lücke oder Fehlkonfiguration das Nutzerprogramm (z.B. Browser, email-Programm, etc. pp.), das dem Trojaner gegenüber im Zweifel das OK gibt, dem Trojaner ist's schnurzegal, ob das ein menschlicher Nutzer oder das System selber oder ein Programm ist, das ihm das OK zum Durchmarschieren gibt), das ist Fakt. Face it!

Nebelkerzen wirfst Du. Um vom eigentlichen Problem abzulenken bzw. weil Du die Wahrheit offenbar nicht wahrhaben willst. Bitte höre damit auf.
Apple hat in OSX nicht ohne Grund XProtect eingeführt.
0
sierkb25.07.13 12:45
teacup:

+1

Exakt.
0
Klaus Major25.07.13 12:50
sierkb
tippmam,
Gerhard Uhlhorn:
Wie oft denn noch?
Hat wieder jemand "JEHOVA" gesagt?
0
sierkb25.07.13 12:55
Klaus Major:
Mark Twain
Eine Lüge ist bereits dreimal um die Erde gelaufen, bevor sich die Wahrheit die Schuhe anzieht.

Deshalb. Deshalb Widerspruch.
0
Klaus Major25.07.13 12:59
Also Mark Twain hat Jehova gesagt?

Boah, Leute, seid doch mal ein wenig locker...
0
music-anderson
music-anderson25.07.13 13:12
Quickmix
Wer installiert sich denn sowas?
Ein pdf mit unsinniger Beschreibung.

Sagen wir, wer öffnet so etwas Aber ich finde es immer wichtig sich auf dem laufenden zu halten, wie hier bei MTN. Wer hier nicht UpToDate ist dem bestraft sicherlich das Leben
Wenn Du nicht weisst was man Dir will, was willst n Du 8-D
0
Chiplet
Chiplet25.07.13 13:14
Gerhard
Du hast ein kurzes Gedächtnis: Die späteren Varianten des Flashback-Trojaners konnten einen Mac über eine Java-Lücke per simplen Aufruf einer Webseite infizieren (dazu reicht dann schon ein gehackter Ad-Server, der den Schädling auf eine "normale" Seite einschleust). Ohne jegliche Benutzerinteraktion.
0
Tuco25.07.13 13:19
quickmix
Genau, macht doch keiner.
Es sei denn da steht "win a Macbook air".
0
Gerhard Uhlhorn25.07.13 13:19
sierkb
… das lässt Du geflissentlich unter den Tisch fallen.
Nein, das war nur nicht Thema.
Der Mac ist inzwischen als Zielplattform für Malware-Schreiber interessant geworden und steht deshalb entsprechend häufiger unter Beschuss …
Darin stimme ich Dir zu.
Apple hat in Mac OS X nicht ohne Grund XProtect eingeführt.
Apple hat XProtect eingeführt, weil man gegen Trojaner sonst nichts machen kann, außer dem Benutzer jede Installation zu verbieten. Und damit Mac OS X auch zukünftig so problemarm bleibt.
0
Gerhard Uhlhorn25.07.13 13:20
Chiplet
Gerhard
Du hast ein kurzes Gedächtnis: Die späteren Varianten des Flashback-Trojaners … Ohne jegliche Benutzerinteraktion.
Nein, das habe ich natürlich nicht vergessen.
0
Weitere News-Kommentare anzeigen

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen