Neue Mac-Malware Dockster greift erneut Flashback-Java-Lücke an


Intego warnt vor einer neuen Malware für Mac OS X. Es handelt sich um einen Trojaner, der als OSX/Dockster.A (oder kurz Dockster) klassifiziert wurde. Offenbar enthält er ein Keylogger-Modul, das Tastatureingaben aufzeichnet, und öffnet eine Hintertür für den Fernzugriff auf den Rechner. Ist er einmal installiert, kontaktiert er außerdem den Server itsec.eicp.net, von dem er mutmaßlich neue Instruktionen erhält und dem er die aufgezeichneten Daten sendet.

Wie zuletzt mehrere Schadprogramme für OS X ist auch Dockster eine in Java geschriebene Bedrohung, die nur auf Systemen läuft, die eine Java-Laufzeitumgebung installiert haben. Die genutzte Java-Schwachstelle CVE-2012-0507 wurde längst gepatcht – schon der Trojaner Flashback hatte darauf zugegriffen. Die Bedrohung ist somit nicht sehr groß – die Experten gehen aber davon aus, dass es sich nur um einen Probelauf handelt. Der eigentliche Schadcode ließe sich auch mit einer Zero-Day-Lücke kombinieren.

Ebenfalls wie andere Mac-Malware nutzt der Trojaner Launch Agents – kleine Konfigurationsdateien, die Startvorgänge lenken. Entwickler können solche Konfigurationsdateien einfach in einen durch den Launcher-Prozess beobachteten Ordner legen. Beim nächsten Neustart werden sie ausgeführt.

Die beiden standardmäßig für dieses Prozedere vorgesehenen Ordner heißen „LaunchDaemons“ und „LaunchAgents“. Es gibt sie für jeden Nutzer. Trojaner benötigen Administratorrechte, um hier Konfigurationsdateien zu platzieren. OSX/Dockster.A legt eine Datei namens „mac.Dockset.deman“ ab. In der Aktivitätsanzeige erscheint die dadurch geladene ausführbare Datei als „.Dockset“. Die Malware ist somit leicht zu enttarnen – sowohl manuell als auch durch Antivirenprogramme.

Während Intego keine großen Sprünge von Dockster erwartet, meldet F-Secure, dass Dockster über eine Website des Dalai Lama namens gyalwarinpoche.com verteilt wird, die zumindest in der Tat versucht, Java-Code auszuführen. Die Zahl der bisher betroffenen Rechner ist nicht bekannt. Flashback konnte sich über die auch von Dockster angegriffene Lücke auf 600.000 Macs ausbreiten. Der Fall sorgte allerdings für viel Aufsehen. Es gibt vermutlich kaum einen Mac, auf dem diese Lücke nicht gepatcht wäre.

Tipp: Flashback-Trojaner: So sichert man Macs effektiv ab

Eine Website des Dalai Lama verteilt angeblich den Trojaner „Dockster“ (Screenshot: ZDNet).

[mit Material von Topher Kessler, News.com]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Bedrohungsindex: Deutliche Zunahme von Infostealern im Oktober

Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.

15 Stunden ago

Chrome 131 schließt zwölf Sicherheitslücken

Eine schwerwiegende Anfälligkeit hebelt die Sicherheitsfunktion Seitenisolierung auf. Betroffen sind Chrome für Windows, macOS und…

15 Stunden ago

DeepL Voice mit KI für Sprach- übersetzungen

DeepL Voice ermöglicht Live‑Übersetzung von Meetings und Gesprächen in 13 Sprachen.

17 Stunden ago

November-Patchday: Microsoft schließt Zero-Day-Lücken in Windows

Betroffen sind Windows und Windows Server. Microsoft patcht aber auch Schwachstellen in Excel, Word und…

21 Stunden ago

LG zeigt elastisches OLED-Display

Es lässt sich um bis zu 50 Prozent dehnen. Allerdings besitzt es eine deutliche geringere…

2 Tagen ago

BSI zu Cybersicherheit: Bedrohungslage bleibt angespannt

Allerdings nimmt auch die Resilienz gegenüber Cyberattacken zu. Das BSI hat außerdem die Cybersicherheit anstehender…

2 Tagen ago