Neue Mac-Malware Dockster greift erneut Flashback-Java-Lücke an

Intego warnt vor einer neuen Malware für Mac OS X. Es handelt sich um einen Trojaner, der als OSX/Dockster.A (oder kurz Dockster) klassifiziert wurde. Offenbar enthält er ein Keylogger-Modul, das Tastatureingaben aufzeichnet, und öffnet eine Hintertür für den Fernzugriff auf den Rechner. Ist er einmal installiert, kontaktiert er außerdem den Server itsec.eicp.net, von dem er mutmaßlich neue Instruktionen erhält und dem er die aufgezeichneten Daten sendet.

Wie zuletzt mehrere Schadprogramme für OS X ist auch Dockster eine in Java geschriebene Bedrohung, die nur auf Systemen läuft, die eine Java-Laufzeitumgebung installiert haben. Die genutzte Java-Schwachstelle CVE-2012-0507 wurde längst gepatcht – schon der Trojaner Flashback hatte darauf zugegriffen. Die Bedrohung ist somit nicht sehr groß – die Experten gehen aber davon aus, dass es sich nur um einen Probelauf handelt. Der eigentliche Schadcode ließe sich auch mit einer Zero-Day-Lücke kombinieren.

Ebenfalls wie andere Mac-Malware nutzt der Trojaner Launch Agents – kleine Konfigurationsdateien, die Startvorgänge lenken. Entwickler können solche Konfigurationsdateien einfach in einen durch den Launcher-Prozess beobachteten Ordner legen. Beim nächsten Neustart werden sie ausgeführt.

Die beiden standardmäßig für dieses Prozedere vorgesehenen Ordner heißen „LaunchDaemons“ und „LaunchAgents“. Es gibt sie für jeden Nutzer. Trojaner benötigen Administratorrechte, um hier Konfigurationsdateien zu platzieren. OSX/Dockster.A legt eine Datei namens „mac.Dockset.deman“ ab. In der Aktivitätsanzeige erscheint die dadurch geladene ausführbare Datei als „.Dockset“. Die Malware ist somit leicht zu enttarnen – sowohl manuell als auch durch Antivirenprogramme.

Während Intego keine großen Sprünge von Dockster erwartet, meldet F-Secure, dass Dockster über eine Website des Dalai Lama namens gyalwarinpoche.com verteilt wird, die zumindest in der Tat versucht, Java-Code auszuführen. Die Zahl der bisher betroffenen Rechner ist nicht bekannt. Flashback konnte sich über die auch von Dockster angegriffene Lücke auf 600.000 Macs ausbreiten. Der Fall sorgte allerdings für viel Aufsehen. Es gibt vermutlich kaum einen Mac, auf dem diese Lücke nicht gepatcht wäre.

Tipp: Flashback-Trojaner: So sichert man Macs effektiv ab

Eine Website des Dalai Lama verteilt angeblich den Trojaner „Dockster“ (Screenshot: ZDNet).

[mit Material von Topher Kessler, News.com]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.