Intego warnt vor einer neuen Malware für Mac OS X. Es handelt sich um einen Trojaner, der als OSX/Dockster.A (oder kurz Dockster) klassifiziert wurde. Offenbar enthält er ein Keylogger-Modul, das Tastatureingaben aufzeichnet, und öffnet eine Hintertür für den Fernzugriff auf den Rechner. Ist er einmal installiert, kontaktiert er außerdem den Server itsec.eicp.net, von dem er mutmaßlich neue Instruktionen erhält und dem er die aufgezeichneten Daten sendet.
Wie zuletzt mehrere Schadprogramme für OS X ist auch Dockster eine in Java geschriebene Bedrohung, die nur auf Systemen läuft, die eine Java-Laufzeitumgebung installiert haben. Die genutzte Java-Schwachstelle CVE-2012-0507 wurde längst gepatcht – schon der Trojaner Flashback hatte darauf zugegriffen. Die Bedrohung ist somit nicht sehr groß – die Experten gehen aber davon aus, dass es sich nur um einen Probelauf handelt. Der eigentliche Schadcode ließe sich auch mit einer Zero-Day-Lücke kombinieren.
Ebenfalls wie andere Mac-Malware nutzt der Trojaner Launch Agents – kleine Konfigurationsdateien, die Startvorgänge lenken. Entwickler können solche Konfigurationsdateien einfach in einen durch den Launcher-Prozess beobachteten Ordner legen. Beim nächsten Neustart werden sie ausgeführt.
Die beiden standardmäßig für dieses Prozedere vorgesehenen Ordner heißen „LaunchDaemons“ und „LaunchAgents“. Es gibt sie für jeden Nutzer. Trojaner benötigen Administratorrechte, um hier Konfigurationsdateien zu platzieren. OSX/Dockster.A legt eine Datei namens „mac.Dockset.deman“ ab. In der Aktivitätsanzeige erscheint die dadurch geladene ausführbare Datei als „.Dockset“. Die Malware ist somit leicht zu enttarnen – sowohl manuell als auch durch Antivirenprogramme.
Während Intego keine großen Sprünge von Dockster erwartet, meldet F-Secure, dass Dockster über eine Website des Dalai Lama namens gyalwarinpoche.com verteilt wird, die zumindest in der Tat versucht, Java-Code auszuführen. Die Zahl der bisher betroffenen Rechner ist nicht bekannt. Flashback konnte sich über die auch von Dockster angegriffene Lücke auf 600.000 Macs ausbreiten. Der Fall sorgte allerdings für viel Aufsehen. Es gibt vermutlich kaum einen Mac, auf dem diese Lücke nicht gepatcht wäre.
Tipp: Flashback-Trojaner: So sichert man Macs effektiv ab
[mit Material von Topher Kessler, News.com]
Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…