Neue Mac-Malware deutet auf Rückkehr von Hacking Team hin

Sicherheitsforscher haben eine neue Mac-OS-Malware entdeckt, die nach ihrer Einschätzung von Hacking Team stammt. Ars Technica ist darauf aufmerksam geworden. Sie wurde demnach am 4. Februar in Googles Scandienst VirusTotal hochgeladen. Zu diesem Zeitpunkt erkannte sie keines der bekannten Antivirenprogramme.

Der umstrittene italienische Hacker-Dienstleister war vergangenes Jahr selbst Opfer einer Attacke geworden. Unbekannte veröffentlichten damals rund 400 GByte entwendete Daten im Internet, darunter E-Mails, geschäftliche Dokumente, die Überwachungssoftware des Unternehmens und Beschreibungen mehrerer Zero-Day-Lücken. Dies brachte die Aktivitäten von Hacking Team erst einmal zum Erliegen.

Die jetzige Analyse stammt von Pedro Vilaça von SentinelOne. Demnach stammt der verwendet Kryptoschlüssel von Mitte Oktober, also von deutlich nach dem Angriff auf Hacking Team. Das Schadprogramm installiert aber dessen bewährte Plattform Remote Control Systems. Eine im Sommer 2015 angekündigte neue Software ist nicht zu entdecken, weshalb sich Vilaça enttäuscht gibt: „Das sind immer noch die gleichen unfähigen Trottel, wie es die E-Mail-Leaks gezeigt haben. Meine hauptsächlichen Fragen sind beantwortet, und es gibt für mich hier nichts Interessantes mehr.“

Theoretisch sei es natürlich auch möglich, dass Dritte die 2015 gestohlene Hacking-Team-Software ein wenig modifiziert haben, ergänzt Vilaça. Fast sicher handle es sich aber um ein echtes Schadprogramm. Der genutzte Kommandoserver war nachweislich zumindest im Januar noch aktiv.

Etwas anders sieht dies der ebenfalls von Ars Technica zitierte Patrick Wardle von Synack. Es handle sich um eine neuere Version der alten Software, schreibt er. Unter anderem gebe es darin neue Verfahren, um einer Erkennung zu entgehen. So werde Mac OS‘ eigene Verschlüsselung verwendet, um die Installationsdatei zu tarnen – für Wardle ein Novum.

Unbekannt ist noch, wie die Schadsoftware auf Zielrechner kommt – etwa durch Phishing oder durch einen Exploit, der sie nachlädt. Es gibt ein einfaches Prüfverfahren: Anwender, die im Verzeichnis ~/Library/Preferences/8pHbqThW/ die Datei Bs-V7qIU.cYL entdecken, sind infiziert.

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Zu dem Angriff auf Hacking Team 2015 bekannte sich ein Hacker namens Phineas Fisher, der 2014 auch in die Systeme der Gamma Group, des Herstellers der umstrittenen Software FinFisher, eingebrochen war. Er ließ offen, wie es ihm gelang, die Systeme der italienischen Firma zu kompromittieren. Angeblich nutzten Hacking-Team-Mitarbeiter aber selbst für kritische Systeme schwache Passwörter wie „P4ssword“.

Das Unternehmen, das seine Produkte vor allem an Regierungen verkauft, soll auch geschäftliche Beziehungen zu Ländern unterhalten, die nicht für einen starken Schutz von Menschen- und Bürgerrechten bekannt sind. 2012 hatte die Organisation Reporter ohne Grenzen Hacking Team zu einem „Feind des Internets“ erklärt. Sie begründete die Entscheidung mit dem Verkauf von Hacker-Tools an repressive Staaten.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago