F-Secure warnt vor falschem Flash-Player-Update für Mac OS X

Sicherheitsforscher von F-Secure haben einen neuen Angriff auf Apples Betriebssystem Mac OS X ausgemacht: einen Trojaner namens „Trojan:BASH/QHost.WB“, der die Nutzer auf gefälschte Google-Websites umleitet. Die Malware verbreitet sich derzeit durch ein ebenfalls gefälschtes Update für Adobe Flash Player (FlashPlayer.pkg).

F-Secure schreibt dazu in einem Blogbeitrag: „Wenn der Trojaner installiert ist, fügt er der Hosts-Datei Einträge hinzu, um die Nutzer zu entführen, die verschiedene Google-Sites wie Google.com.tw oder Google.com.tl besuchen wollen. Sie werden umgeleitet zur niederländischen IP-Adresse 91.224.160.26. Der mit dieser IP-Adresse verbundene Server gibt eine gefälschte Website aus, die einer echten Google-Site sehr ähnlich ist.“

Obwohl die Site ziemlich überzeugend wirkt, führt der Klick auf einen der angebotenen Links nicht zu anderen Seiten. Stattdessen öffnen sich neue Pop-up-Seiten, die von einem anderen entfernten Server kommen. Der Angriff zielt laut F-Secure darauf ab, auf infizierten Geräten mit Mac OS X Werbung einzublenden. Derzeit geben die Pop-ups jedoch keine Inhalte aus, da der Server offenbar nicht am Netz ist.

Apple hat seit einiger Zeit mit Scareware-Attacken auf seine Plattform zu kämpfen. Schadprogramme wie „Mac Defender“ empfahlen sich selbst als Anti-Virus-Software, um nach ihrer Installation die Kreditkartendaten des Nutzers zu entwenden. Mac OS X zieht mit steigenden Marktanteilen auch Malware-Autoren zunehmend an, wie der aktuelle Angriff erneut beweist.