Neue Mac-Malware Dockster greift erneut Flashback-Java-Lücke an


Intego warnt vor einer neuen Malware für Mac OS X. Es handelt sich um einen Trojaner, der als OSX/Dockster.A (oder kurz Dockster) klassifiziert wurde. Offenbar enthält er ein Keylogger-Modul, das Tastatureingaben aufzeichnet, und öffnet eine Hintertür für den Fernzugriff auf den Rechner. Ist er einmal installiert, kontaktiert er außerdem den Server itsec.eicp.net, von dem er mutmaßlich neue Instruktionen erhält und dem er die aufgezeichneten Daten sendet.

Wie zuletzt mehrere Schadprogramme für OS X ist auch Dockster eine in Java geschriebene Bedrohung, die nur auf Systemen läuft, die eine Java-Laufzeitumgebung installiert haben. Die genutzte Java-Schwachstelle CVE-2012-0507 wurde längst gepatcht – schon der Trojaner Flashback hatte darauf zugegriffen. Die Bedrohung ist somit nicht sehr groß – die Experten gehen aber davon aus, dass es sich nur um einen Probelauf handelt. Der eigentliche Schadcode ließe sich auch mit einer Zero-Day-Lücke kombinieren.

Ebenfalls wie andere Mac-Malware nutzt der Trojaner Launch Agents – kleine Konfigurationsdateien, die Startvorgänge lenken. Entwickler können solche Konfigurationsdateien einfach in einen durch den Launcher-Prozess beobachteten Ordner legen. Beim nächsten Neustart werden sie ausgeführt.

Die beiden standardmäßig für dieses Prozedere vorgesehenen Ordner heißen „LaunchDaemons“ und „LaunchAgents“. Es gibt sie für jeden Nutzer. Trojaner benötigen Administratorrechte, um hier Konfigurationsdateien zu platzieren. OSX/Dockster.A legt eine Datei namens „mac.Dockset.deman“ ab. In der Aktivitätsanzeige erscheint die dadurch geladene ausführbare Datei als „.Dockset“. Die Malware ist somit leicht zu enttarnen – sowohl manuell als auch durch Antivirenprogramme.

Während Intego keine großen Sprünge von Dockster erwartet, meldet F-Secure, dass Dockster über eine Website des Dalai Lama namens gyalwarinpoche.com verteilt wird, die zumindest in der Tat versucht, Java-Code auszuführen. Die Zahl der bisher betroffenen Rechner ist nicht bekannt. Flashback konnte sich über die auch von Dockster angegriffene Lücke auf 600.000 Macs ausbreiten. Der Fall sorgte allerdings für viel Aufsehen. Es gibt vermutlich kaum einen Mac, auf dem diese Lücke nicht gepatcht wäre.

Tipp: Flashback-Trojaner: So sichert man Macs effektiv ab

Eine Website des Dalai Lama verteilt angeblich den Trojaner „Dockster“ (Screenshot: ZDNet).

[mit Material von Topher Kessler, News.com]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago