Intego meldet neuen Mac-Trojaner

Sicherheitsforscher von Intego haben eine neue Variante des Trojaners Imuler für Mac OS X entdeckt. Die ZIP-Datei mit Imuler.C gibt vor, sie enthalte Nacktfotos von Models: nämlich „Pictures and the Ariticle of Renzin Dorjee.zip“ oder „FHM Feb Cover Girl Irina Shayk H-Res Pics.zip“.

Die Angreifer setzen darauf, dass Mac OS X die volle Dateiendung standardmäßig nicht anzeigt. So können Bilder-Icons in der Vorschau plausibel präsentiert werden.


Kein ganz neuer Trick: Imuler.C tarnt seine ausführbaren Dateien als Fotos (Screenshot: Intego).

Führt man die Malware unvorsichtigerweise aus, installiert sie unter /tmp/.mdworker eine Backdoor. Dann startet ein Prozess .mdworker, der dem Namen nach an Spotlights Indexdienst mdworker (ohne voranstehenden Punkt) erinnert. Weiter pflanzt die Software einen Start-Agenten und eine ausführbare Datei in das Verzeichnis ~/library/LaunchAgents/checkvir.plist, sodass die Malware künftig bei jedem Bootvorgang startet. Der Prozess .mdworker ist bei künftigen Starts nicht mehr vorhanden.

Die Malware sucht nach Anwenderdaten, die sie an ihren Kommandoserver schicken kann. Außerdem erstellt sie Screenshots und vergibt für jeden Mac, aus dem sie läuft, eine einmalige ID, um ihn von allen anderen Systemen unterscheiden zu können. Weiter kann sie sich übers Internet aktualisieren.

Endanwendern rät Intego, die vollständige Darstellung von Dateinamen zu aktivieren, um zwischen Bildern und ausführbaren Dateien unterscheiden zu können. Verdächtige Dateianhänge lassen sich zudem über den Dienst VirusTotal auf Malware prüfen.

[mit Material von Dancho Danchev, ZDNet.com]

ZDNet.de Redaktion

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

22 Minuten ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago